控制对门的集体访问

1.实体控制多个用户访问至少一不连通的门的方法，包括：
将多个用户映射到组；
对于一系列日期的每一时间间隔d，使管理机构产生数字签名SIGUDd，其指示该组的成员可在时间间隔d期间访问门；
使该组的至少一成员在时间间隔d期间接收SIGUDd以用于呈现给门从而通过门；
使该组的至少一成员接收证明，在证明呈现给门时授权至少一成员通过门，其中证明不包括数字签名；
使该组的至少一成员将SIGUDd和证明呈现给门；及
在验证下述内容之后使门打开：(i)SIGUDd为管理机构的数字签名，其指明该组的成员可在时间间隔d访问门，(ii)当前时间在时间间隔d之内，及(iii)在证明呈现给门时授权该组的至少一成员访问门。
2.根据权利要求1的方法，其中该组的至少一成员具有用户卡且门具有连接到电控机械锁的读卡机，且其中该组的至少一成员通过将SIGUDd保存在用户卡中而接收SIGUDd，并通过使用户卡被读卡机读而将SIGUDd呈现给门。
3.根据权利要求1的方法，其中通过将SIGUDd记入该组的至少一成员可访问的数据库中而使得SIGUDd可在时间间隔d期间被该组的至少一成员接收。
4.根据权利要求1的方法，其中SIGUDd为公钥签名，且其中门保存管理机构的公钥。
5.根据权利要求1的方法，其中门还验证关于该组的至少一成员的身份信息。
6.根据权利要求5的方法，其中关于该组的至少一成员的身份信息包括至少下述之一：PIN及对门的挑战的应答。

控制对门的集体访问\n[0001] 相关申请交叉索引\n[0002] 本申请要求2003年7月18日申请的美国临时专利申请60/488,645的优先权，其通过引用组合于此，且还要求2003年9月24日申请的美国临时专利申请60/505,640的优先权，其通过引用组合于此，且是2004年6月24日申请的美国专利申请10/876,275(未决)的延续，其要求2003年6月24日申请的美国临时专利申请60/482,179的优先权，且其本身是2001年7月25日申请的美国专利申请09/915,180的部分的延续，其是2000年1月14日申请的美国专利申请09/483,125的延续(现在为美国专利6,292,893)，其是1999年7月19日申请的美国专利申请09/356,745的延续(已放弃)，其是1997年3月24日申请的美国专利申请08/823,354的延续(现在为美国专利5,960,083)，其是1995年11月16日申请的美国专利申请08/559,533的延续(现在为美国专利5,666,416)，其要求1995年10月24日申请的美国临时申请60/006,038的优先权，且是2003年4月8日申请的美国专利申请10/409,638的延续(未决)，其要求下述申请的优先权：2002年4月8日申请的美国临时申请60/370,867；2002年4月16日申请的美国临时申请60/372,951；2002年4月17日申请的美国临时申请60/373,218；2002年4月23日申请的美国临时申请60/374,861；\n2002年10月23日申请的美国临时申请60/420,795；2002年10月25日申请的美国临时申请60/421,197；2002年10月28日申请的美国临时申请60/421,756；2002年10月30日申请的美国临时申请60/422,416；2002年11月19日申请的美国临时申请60/427,504；\n2003年1月29日申请的美国临时申请60/443,407；及2003年2月10日申请的美国临时申请60/446,149；所有这些申请的示教均通过引用组合于此。且其是2002年3月20日申请的美国专利申请10/103,541(未决)的部分的延续， 其示教通过引用组合于此，其本身是2001年7月25日申请的美国专利申请09/915,180(未决)的部分的延续，且其是2000年1月14日申请的美国专利申请09/483,125的延续(现在为美国专利6,292,893)，其是\n1999年7月19日申请的美国专利申请09/356,745的延续(已放弃)，其是1997年3月\n24日申请的美国专利申请08/823,354的延续(现在为美国专利5,960,083)，其是1995年\n11月16日申请的美国专利申请08/559,533的延续(现在为美国专利5,666,416)，其基于\n1995年10月24日申请的美国临时申请60/006,038。美国专利申请10/103,541还是1997年12月18日申请的美国专利申请08/992,897(现在为美国专利6,487,658)的延续，其基于1996年12月18日申请的美国临时申请60/033,415，且其是1996年9月19日申请的美国专利申请08/715,712(已放弃)的部分的延续，其基于1995年10月2日申请的美国临时申请60/004,796的延续。美国专利申请08/992,897的部分还是1996年10月11日申请的美国专利申请08/729,619(现在为美国专利6,097,811)的延续，其基于1995年\n11月2日申请的美国临时申请60/006,143。美国专利申请08/992,897的部分还是1997年2月24日申请的美国专利申请08/804,868(已放弃)的延续，其是1996年11月1日申请的美国专利申请08/741,601(已放弃)的延续，其基于1995年11月2日申请的美国临时申请60/006,143。美国专利申请08/992,897的部分还是1997年6月11日申请的美国专利申请08/872,900(已放弃)的延续，其是1996年11月5日申请的美国专利申请\n08/746,007(现在为美国专利5,793,868)的延续，其基于1996年8月29日申请的美国临时申请60/025,128。美国专利申请08/992,897还基于1997年2月3日申请的美国临时申请\n60/035,119，其还是1997年8月5日申请的美国专利申请08/906,464(已放弃)的延续，其部分是1996年12月9日申请的美国专利申请08/763,536(现在为美国专利5,717,758)的延续，其基于1996年9月10日申请的美国临时申请60/024,786，并基于1996年4月23日申请的美国专利申请 08/636,854(现在为美国专利5,604,804)，并还基于1996年8月29日申请的美国临时申请60/025,128。美国专利申请08/992,897的部分还是1996年11月\n26日申请的美国专利申请08/756,720(已放弃)的延续，其基于1996年8月29日申请的美国临时申请60/025,128，并还基于1996年9月19日申请的美国专利申请08/715,712(已放弃)，并还基于1995年11月16日申请的美国专利申请08/559,533(现在为美国专利\n5,666,416)。美国专利申请08/992,897的部分还是1996年11月19日申请的美国专利申请\n08/752,223(现在为美国专利5,717,757)的延续，其基于1996年8月29日申请的美国临时申请60/025,128，且部分还是1997年2月24日申请的美国专利申请08/804,869(已放弃)的延续，其是1996年11月1日申请的美国专利申请08/741,601(已放弃)的延续，其基于\n1995年11月2日申请的美国临时申请60/006,143。美国专利申请08/992,897的部分还是\n1997年3月24日申请的美国专利申请08/823,354(现在为美国专利5,960,083)的延续，其是1995年11月16日申请的美国专利申请08/559,533(现在为美国专利5,666,416)的延续，其基于1995年10月24日申请的美国临时申请60/006,038。美国专利申请10/103,541还基于2001年3月20日申请的美国临时申请60/277,244、及2001年6月25日申请的美国临时申请60/300,621、及2001年12月27日申请的美国临时申请60/344,245。上述所有申请均通过引用组合于此。美国专利申请10/409,638还是2001年6月25日申请的美国专利申请09/915,180(未决)的延续，其示教组合于此以供参考，其本身是2000年1月14日申请的美国专利申请09/483,125(现在为美国专利6,292,893)的延续，其是1999年7月19日申请的美国专利申请09/356,745(已放弃)的延续，其是1997年3月24日申请的美国专利申请08/823,354(现在为美国专利5,960,083)的延续，其是1995年11月16日申请的美国专利申请08/559,533(现在为美国专利5,666,416)的延续，其基于1995年10月24日申请的美国临时申请60/006,038。上述所有申请的示教均 通过引用组合于此。美国专利申请10/409,638还是2003年3月21日申请的美国专利申请10/395,017(未决的)的延续，其示教组合于此以供参考，其本身是2002年9月16日申请的美国专利申请10/244,695(已放弃)的延续，其是1997年12月18日申请的美国专利申请08/992,897(现在为美国专利6,487,658)的延续，其基于1996年12月18日申请的美国临时专利申请60/033,415，且其部分是1996年9月19日申请的美国专利申请08/715,712(已放弃)的延续，其基于\n1995年10月2日申请的美国专利申请60/004,796，且其部分还是1996年10月10日申请的美国专利申请08/729,619(现在为美国专利6,097,811)的延续，其基于1995年11月2日申请的美国专利申请60/006,143，且其部分还是1997年2月24日申请的美国专利申请\n08/804,868(已放弃)的延续，其是1996年11月1日申请的美国专利申请08/741,601(已放弃)的延续，其基于1995年11月2日申请的美国专利申请60/006,143，且其部分还是\n1997年6月11日申请的美国专利申请08/872,900(已放弃)的延续，其是1996年11月5日申请的美国专利申请08/746,007(现在为美国专利5,793,868)的延续，其基于1996年8月29日申请的美国专利申请60/025,128，且其还基于1997年2月3日申请的美国专利申请\n60/035,119，且其部分还是1997年8月5日申请的美国专利申请08/906,464(已放弃)的延续，其是1996年12月9日申请的美国专利申请08/763,536(现在为美国专利5,717,758)的延续，其基于1996年9月10日申请的美国专利申请60/024,786，且还基于1997年4月\n23日申请的美国专利申请08/636,854(现在为美国专利5,604,804)及1996年8月29日申请的美国专利申请60/025,128，且其部分还是1996年11月26日申请的美国专利申请\n08/756,720(放弃)的延续，其基于1996年8月29日申请的美国专利申请60/025,128，并还基于1996年9月19日申请的美国专利申请08/715,712(已放弃)，并还基于1995年\n11月16日申请的美国专利申请08/559,533(现在为美国专利5,666,416)，且其部分还是\n1996 年11月19日申请的美国专利申请08/752,223(现在为美国专利5,717,757)的延续，其基于1996年8月29日申请的美国专利申请60/025,128，且部分还是1997年2月\n24日申请的美国专利申请08/804,869(已放弃)的延续，其是1996年11月1日申请的美国专利申请08/741,601(已放弃)的延续，其基于1995年11月2日申请的美国专利申请\n60/006,143，且其部分还是1997年3月24日申请的美国专利申请08/823,354(现在为美国专利5,960,083)的延续，其是1995年11月16日申请的美国专利申请08/559,533(现在为美国专利5,666,416)的延续，其基于1995年10月24日申请的美国专利申请60/006,038。\n上述所有申请的示教均通过引用组合于此。\n[0003] 发明背景\n1.技术领域\n[0004] 本申请涉及物理访问控制领域，特别是使用处理器操纵的锁及相关数据的物理访问控制领域。\n2.背景技术\n[0005] 在许多情况下，如在访问机场、军事设施、办公楼等时，确保只有经授权的个人才可访问受保护的区域和设备是非常重要的。传统的门和墙可用于保护敏感区域，但具有传统的锁和钥匙的门在管理许多用户的设置时非常麻烦。例如，一旦雇员被解雇，很难收回当初雇用时发给该前雇员的物理钥匙。此外，还有这样的钥匙被复制多把且永未交出的风险。\n[0006] 智能门提供访问控制。在某些情况下，智能门可被装备以键盘，用户通过键盘可输入其PIN或密码。键盘可具有附加的存储器和/或基本处理器，有效的PIN/密码的列表可被保存在其中。因此，门可检查当前输入的PIN是否属于当前的有效列表。如果属于，则门打开。否则，门可保持被锁。当然，不是(唯一)依赖于传统的钥匙或简单的键盘，更现代的智能门可与卡(如智能卡和磁条卡)或无接触设备(如PDA、移动电话等)一起工作。\n这样的卡或设备可在除传统钥匙 或电子键盘之外辅助使用或用以代替前述钥匙或电子键盘。设计来由用户携带的这些磁条卡、智能卡或无接触设备可具有保存信息的能力，信息可被传输给门。更先进的卡还可具有计算和通信能力。门上的相应设备能够从卡读信息，并可能参加与卡的交互式协议，与计算机通信等。\n[0007] 门的一方面是其连通性等级。全连接的门是一直与一些数据库(或其它计算机系统)连接的门。例如，数据库可包含关于当前有效的卡、用户、PIN等的信息。在某些情况下，为防止敌人改变流入门的信息，这样的连接被保护(例如，通过将从门到数据库的导线置放在钢管内)。另一方面，全不连通的门不与其紧靠的附近区域的外面进行通信。在这两个极端情况之间，还有具有断续连通性的门(例如，无线连接的“移动”门，其仅在地面站范围之内时才可与外面通信，如飞机或卡车的门)。\n[0008] 传统的访问控制机制有许多缺点。全连接的门非常昂贵。将安全管连接到远处的智能门的花费可能远超出智能门本身的成本。以密码方式保护导线，同时可能较廉价，但也有其自己的成本(例如，保护和管理密钥的成本)。此外，没有钢管和安全守卫的密码系统不能防止导线被割断，在这种情况下，不长久连接的门可能被迫在两个极端选择之间进行选择：即，总是保持关闭或总是打开，但二者均不是合意。在一些情况下，全连接门通常不是可行的选择。(例如，在大西洋中部海平面以下的货物集装箱的门实际上被完全不连通。)[0009] 不连通的智能门可能较连通的门便宜。然而，传统接近智能门具有其自身的问题。\n例如，假设不连通的智能门能够识别PIN。被终止的雇员不再被授权通过该门，然而，如果他还记得他自己的PIN，他将没有任何困难打开如基本的智能门。因此，必须“抵消”已终止雇员的PIN的影响，这对于不连通的门来说很难。事实上，这样的过程可能非常麻烦且昂贵：机场设施具有好几百道门，无论雇员在何时离开或被终止雇用关系，均调度特殊的工人队伍出去并去除所有这些门的旧有程序太不切实际。\n[0010] 因此，希望提供与全连通的门相关联的安全等级，而不导致额外的成本。如所证明的，不连通的智能门和卡本身并不保证访问控制系统的安全、方便和低成本。\n发明内容\n[0011] 根据本发明，控制访问包括提供访问障碍，其包括有选择允许访问的控制器，至少一管理实体产生凭证/证明，其中如果仅给出凭证和过期证明的值，则不可确定为有效证明，控制器接收凭证/证明，控制器确定访问在当前是否被授权，如果访问被当前授权，则控制器允许访问。凭证/证明可以为一体，也可是分开的部分。可以是第一管理实体产生凭证，其它管理实体产生证明。第一管理实体还可产生证明或第一管理实体不可产生证明。\n凭证可对应于包括终值的数字证书，终值是将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。数字证书可包括电子设备的标识符。凭证可包括终值，终值为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。凭证可包括用户请求访问的标识符。凭证/证明可包括数字签名。\n访问障碍可包括墙和门。控制访问还可包括提供连接到控制器的门锁，其中控制器允许访问包括控制器开动门锁以允许门打开。控制访问还可包括提供连接到控制器的读卡机，其中控制器从读卡机接收凭证/证明。凭证/证明可被提供在用户呈现的智能卡上。控制访问还可包括提供外部连接到控制器。外部连接可以是间歇性连接。控制器可使用外部连接接收至少一部分凭证/证明，或控制器可使用外部连接接收所有凭证/证明。控制访问还可包括提供读卡机连接到控制器，控制器从读卡机接收凭证/证明的剩余部分。凭证/证明可被提供在用户呈现的智能卡上。凭证/证明可包括用户输入的密码。凭证/证明可包括用户生物测定信息。凭证/证明可包括手写签名。凭证/证明可包括在用户所持的卡上提供的秘密值。凭证/证明可在预定时间后过期。\n[0012] 根据本发明，实体控制多个用户对至少一不连通的门的访问包括 将多个用户映射到组，对于一系列日期的每一时间间隔d，使管理机构产生数字签名SIGUDd，其表明该组的成员在时间间隔d期间可访问门，使该组的至少一成员在时间间隔d期间接收SIGUDd以呈现给门从而通过门，使该组的至少一成员将SIGUDd呈现给门D，并在验证下述内容之后使门打开：(i)SIGUDd是表明该组成员可在时间间隔d访问门的管理机构数字签名，及(ii)当前时间在时间间隔d之内。该组的至少一成员可具有用户卡且门可具有连接到机电锁的读卡机，该组的至少一成员可通过将SIGUDd保存在用户卡内而接收SIGUDd，并通过使用户卡被读卡机读而将SIGUDd呈现给门。管理机构可通过将SIGUDd记入可由该组的至少一成员访问的数据库中而使SIGUDd将被该组的至少一成员在时间间隔d期间接收。SIGUDd可以是公钥签名，且门可保存管理机构的公钥。门还可验证该组的至少一成员的身份信息。关于该组的至少一成员的身份信息可包括至少下述之一：PIN及对门的复杂问题的回答。\n[0013] 根据本发明，控制物理访问还包括分配实时凭证给一组用户，检查实时凭证，其中实时凭证包括固定的第一部分及定期被修改的第二部分，其中第二部分提供实时凭证为当前凭证的证明，通过在第一部分上执行操作并将结果与第二部分进行比较来验证实时凭证的有效性；且只在实时凭证被验证为有效时才允许该组成员的物理访问。第一部分可由管理机构数字签署。管理机构可提供第二部分。第二部分可由不同于管理机构的实体提供。\n实时凭证可被提供在智能卡上。该组的成员可在第一位置获得实时凭证的第二部分。该组的成员可被允许访问不同于且与第一位置分开的第二位置。实时凭证的第一部分的至少一部分可代表多次应用到实时凭证的第二部分的一部分的单向散列。多次可对应于自实时凭证的第一部分被发出之后逝去的时间量。控制物理访问还可包括控制通过门的访问。\n[0014] 根据本发明，确定访问包括确定特定的凭证/证明是否表明访问被允许，确定是否有另外的数据与凭证/证明相关联，其中另外的数据独立于凭证/证明，及如果特定凭证/证明表明访问已被允许且有另 外的数据与特定凭证/证明相关联，则根据另外的数据提供的信息决定是否拒绝访问。凭证/证明可以为一体，也可是分开的部分。可以是第一管理实体产生凭证，其它管理实体产生证明。第一管理实体还可产生证明或第一管理实体不可产生证明。凭证可对应于包括终值的数字证书，终值是将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。数字证书可包括电子设备的标识符。凭证可包括终值，终值为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。凭证可包括用户请求访问的标识符。凭证/证明可包括数字签名。访问可以是对由墙和门封闭的区域的访问。确定访问可包括提供门锁，其中门锁根据访问是否被拒绝进行开启。确定访问还可包括提供接收凭证/证明的读卡机。\n凭证/证明可被提供在用户呈现的智能卡上。凭证/证明可包括用户输入的密码。凭证/证明可包括用户生物测定信息。凭证/证明可包括手写签名。凭证/证明可包括在用户所持的卡上提供的秘密值。凭证/证明可在预定时间后过期。另外的数据可被数字签署。另外的数据可以是与凭证/证明绑定的消息。消息可识别特定的凭证/证明并包括特定凭证/证明是否已被取消的指示。指示可以是空串。另外的数据可包括日期。另外的数据可以是包含关于特定凭证/证明的信息及包含关于一个或多个其它凭证/证明的信息的消息。\n确定访问还可包括保存另外的数据。另外的数据可包括到期时间，其表明另外的数据将被保存多久。到期时间可对应于特定凭证/证明的到期。确定访问还可包括将另外的数据保存预定长的时间。凭证/证明可在预定时间之后均到期。另外的数据可使用智能卡进行提供。智能卡可由试图访问区域的用户呈现。对区域的访问可使用墙和至少一门进行限制。\n另外的数据可用于不同于试图访问的用户的用户。确定访问还可包括提供通信链路并使用通信链路传输另外的数据。通信链路可由智能卡提供以另外的数据。智能卡可要求与通信链路定期通信以保持有效。智能卡可被另一智能卡提供以另外的数据。另外的数据可被有选择地提供给一小组智能卡。确定访问还可包括提供优先级给另 外的数据。另外的数据可根据提供给另外的数据的优先级而被有选择地提供给一小组智能卡。另外的数据可被随机提供给一小组智能卡。\n[0015] 根据本发明，发出和传播关于凭证的数据包括使实体发出表明凭证已被取消的经鉴定的数据，使得经鉴定的数据保存在第一用户的第一卡中，使用第一卡将经鉴定的数据传输给第一门，使第一门保存关于经鉴定的数据的信息，并使第一门依靠关于经鉴定的数据的信息来拒绝访问凭证。经鉴定的数据可由数字签名进行鉴定，且第一门可验证数字签名。数字签名可以是公钥数字签名。数字签名的公钥可与凭证关联。数字签名可以是私钥数字签名。凭证和第一卡均属于第一用户。凭证可被保存在不同于第一卡的第二卡中，第一门可通过从存储器检索关于经鉴定的数据的信息而依靠这样的信息。凭证可属于不同于第一用户的第二用户。经鉴定的数据可被首先保存在不同于第一卡的至少一其它卡中，且经鉴定的数据可从至少一其它卡传输给第一卡。经鉴定的数据可通过首先传输给不同于第一门的至少一其它门而从至少一其它卡传输给第一卡。实体可通过首先使经鉴定的数据保存在应答器上然后使第一卡从应答器获得经鉴定的数据而使得经鉴定的数据被保存在第一卡中。应答器可无保护。第一门可通过使经鉴定的数据首先传输给不同于第一卡的至少一其它卡而从第一卡接收关于经鉴定的数据的信息。至少一其它卡可通过使经鉴定的数据首先传输给不同于第一门的至少一其它门而从第一卡接收关于经鉴定的数据的信息。第一门可以是全不连通或间歇连通。\n[0016] 根据本发明，第一门接收关于第一用户的凭证的经鉴定的数据，过程包括从属于不同于第一用户的第二用户的第一卡接收经鉴定的数据，保存关于经鉴定的数据的信息，接收凭证，及依靠所保存的关于经鉴定的数据的信息拒绝访问凭证。经鉴定的数据可由数字签名进行鉴定，且第一门验证数字签名。数字签名可以是公钥数字签名。数字签名的公钥可与凭证关联。数字签名可以是私钥数字签名。经鉴定的数据可通过首先保存在至少一其它卡中然后从至少一其它卡传输给第一卡而被保存在第一卡中。经鉴定的数据可通过首先传输给不同 于第一门的至少一其它门而从至少一其它卡传输给第一卡。经鉴定的数据可通过首先保存在应答器上然后使第一卡从应答器获得而被保存在第一卡中。应答器可无保护。第一门可通过使经鉴定的数据首先传输给不同于第一卡的至少一其它卡而从第一卡接收关于经鉴定的数据的信息。至少一其它卡可通过使经鉴定的数据首先传输给不同于第一门的至少一其它门而从第一卡接收关于经鉴定的数据的信息。第一门可以是全不连通或间歇连通。\n[0017] 根据本发明，帮助立即取消访问包括接收关于凭证的经鉴定的数据，将关于经鉴定的数据的信息保存在第一卡上，及使第一门接收关于经鉴定的数据的信息。经鉴定的数据可由数字签名进行鉴定。数字签名可以是公钥数字签名。数字签名的公钥可与凭证关联。\n数字签名可以是私钥数字签名。凭证和卡均属于第一用户。如果第一卡在预先指定的时间中未能接收预先指定类型的信号，则第一卡将变为不可用于访问。凭证可属于不同于第一用户的另一用户。经鉴定的数据可通过首先保存在不同于第一卡的至少一其它卡中然后从至少一其它卡传输给第一卡而被第一卡接收。经鉴定的数据可通过首先传输给不同于第一门的至少一其它门而从至少一其它卡传输给第一卡。第一卡可从应答器获得经鉴定的数据。应答器可无保护。第一卡可通过首先将经鉴定的数据传输给不同于第一卡的至少一其它卡而使第一门接收关于经鉴定的数据的信息。第一卡可通过首先将经鉴定的数据传输给不同于第一门的至少一其它门而使至少一其它卡接收关于经鉴定的数据的信息。第一门可以全不连通或间歇连通。最后第一卡可从存储器删除所保存的关于经鉴定的数据的信息。\n凭证可具有到期日期，第一卡可在凭证过期之后从存储器删除所保存的关于经鉴定的数据的信息。凭证的到期日期可从凭证内指定的信息推断。\n[0018] 根据本发明，记录与访问区域相关的事件包括记录与访问区域有关的事件以提供事件记录并鉴定至少一事件记录从而提供经鉴定的记录。记录事件可包括记录记录事件的时间。记录事件可包括记录事件的类型。事件可以是试图访问区域。记录事件可包括记录连同访问 区域尝试使用的凭证/证明。记录事件可包括记录尝试的结果。记录事件可包括记录不同于表明访问应被拒绝的凭证/证明的数据的存在。记录事件可包括记录与区域有关的另外的数据。鉴定记录可包括数字签署记录。鉴定至少一事件记录可包括鉴定事件记录及鉴定其它事件记录以提供单一经鉴定的记录。单一经鉴定的记录可被保存在卡上。\n经鉴定的记录可被保存在卡上。卡可具有另一经鉴定的记录保存于其上。另一经鉴定的记录可由卡连同用于访问区域的卡提供。如果另一经鉴定的记录未被验证，则访问可被拒绝。\n控制器可连同访问区域一起提供，其中控制器进一步鉴定另一经鉴定的记录。另一经鉴定的记录可使用数字证书进行鉴定。记录事件还可包括用户呈现卡以试图访问区域。记录事件还可包括在用户试图访问区域时卡进一步鉴定经鉴定的记录。与访问区域有关，控制器可被提供，其中控制器和卡共同进一步鉴定经鉴定的记录。记录事件可包括提供相关产生数据，其指明经鉴定的记录的内容。相关产生数据可与经鉴定的记录绑定。相关产生数据可与经鉴定的记录绑定且所得的绑定可被鉴定。所得到的绑定可被数字签署。相关产生数据可以是一系列数字，且数字中的特定之一可被赋予事件。记录事件还可包括鉴定特定数字和事件的绑定。鉴定绑定可包括数字签署绑定。鉴定绑定可包括单向散列绑定然后数字签署其结果。事件的相关产生数据可包括识别另一事件的信息。另一事件可以是在前的事件。另一事件可以是未来的事件。记录事件还可包括关联事件的第一和第二随机值，将第一和第二随机值中的至少一个与另一事件相关联，及将第一和第二值中的至少一个与另一事件绑定。提供相关产生数据可包括使用多项式产生相关信息。提供相关产生数据可包括使用散列链产生相关信息。相关产生数据可包括关于多个其它事件的信息。相关产生数据可包括纠错代码。记录事件还可包括传播经鉴定的记录。传播经鉴定的记录可包括将经鉴定的记录提供在由试图访问区域的用户呈现的卡上。区域可由墙和门确定。\n[0019] 根据本发明，至少一管理实体控制电子设备的访问，其通过至少 一管理实体为电子设备产生凭证和多个相应的证明，其中如果仅给出凭证和过期证明的值，不可确定有效的证明，电子设备接收凭证，如果访问在特定时间被授权，电子设备接收对应于特定时间的证明，及电子设备使用凭证确认证明。至少一管理实体可在产生凭证之后产生证明。单一管理实体可产生凭证并产生证明。也可以是第一管理实体产生凭证，其它管理实体产生证明。第一管理实体也可产生证明或不可产生证明。凭证可以是包括终值的数字证书，终值为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。数字证书可包括电子设备的标识符。凭证可包括终值，其为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。凭证可包括电子设备的标识符。电子设备可以是计算机，其仅在访问被授权时启动。电子设备可以是磁盘驱动器。至少一管理实体控制电子设备的访问可包括使用独立于至少一管理实体的至少一证明分配实体提供证明。可以仅有一个证明分配实体或有多个证明分配实体。至少一管理实体控制电子设备的访问可包括使用到电子设备的连接提供证明。连接可以是因特网。至少部分证明可被本机保存在电子设备上。至少一管理实体控制电子设备的访问可包括，如果对应于时间的证明不可在本机获得，电子设备经外部连接请求证明。每一证明可与特定的时间间隔相关联。在与特定证明相关联的特定时间间隔已消逝之后，电子设备可接收新证明。时间间隔可以是一天。\n[0020] 根据本发明，电子设备控制对其的访问，其通过接收用于电子设备的凭证和多个相应证明中的至少一个，其中如果仅给出凭证和过期证明的值则不可确定有效的证明，且使用凭证测试多个证明中的至少一个。凭证可以是包括终值的数字证书，终值为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。数字证书可包括电子设备的标识符。凭证可包括终值，其为将单向函数应用到第一证明的结果。\n每一证明可以是将单向函数应用到未来证明之一的结果。凭证可包括电子设备的标识符。\n电子设备可以是 计算机。电子设备控制对其的访问还可包括仅在访问被授权时计算机启动。电子设备可以是磁盘驱动器。电子设备控制对其的访问可包括使用到电子设备的连接获得证明。连接可以是因特网。至少部分证明可被本机保存在电子设备上。电子设备控制对其的访问可包括，如果对应于时间的证明不可在本机获得，电子设备经外部连接请求证明。每一证明可与特定的时间间隔相关联。在与特定证明相关联的特定时间间隔已消逝之后，电子设备可接收新证明。时间间隔可以是一天。\n[0021] 根据本发明，控制对电子设备的访问包括提供凭证给电子设备，如果访问在特定时间被允许，提供对应于特定时间的证明给电子设备，其中如果仅给出凭证和过期证明的值则不可确定证明。凭证可以是包括终值的数字证书，终值为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。数字证书可包括电子设备的标识符。凭证可包括终值，其为将单向函数应用到第一证明的结果。每一证明可以是将单向函数应用到未来证明之一的结果。凭证可包括电子设备的标识符。电子设备可以是计算机。控制对电子设备的访问可包括仅在访问被授权时计算机启动。电子设备可以是磁盘驱动器。控制对电子设备的访问可包括使用独立于至少一管理实体的至少一证明分配实体提供证明。可以仅有一个证明分配实体。可以有多个证明分配实体。控制对电子设备的访问可包括使用到电子设备的连接提供证明。连接可以是因特网。至少部分证明可被本机保存在电子设备上。控制对电子设备的访问可包括，如果对应于时间的证明不可在本机获得，电子设备经外部连接请求证明。每一证明可与特定的时间间隔相关联。在与特定证明相关联的特定时间间隔已消逝之后，电子设备可接收新证明。时间间隔可以是一天。\n附图说明\n[0022] 图1A为根据在此描述的系统的实施例的示意图，其包括连接、多个电子设备、管理实体、证明分配实体。\n[0023] 图1B为根据在此描述的系统的另一实施例的示意图，其包括连 接、多个电子设备、管理实体、证明分配实体。\n[0024] 图1C为根据在此描述的系统的另一实施例的示意图，其包括连接、多个电子设备、管理实体、证明分配实体。\n[0025] 图1D为根据在此描述的系统的另一实施例的示意图，其包括连接、多个电子设备、管理实体、证明分配实体。\n[0026] 图2为根据在此描述的系统的电子设备的详细示图。\n[0027] 图3为根据在此描述的系统，连同电子设备确定是否执行确认执行的步骤的流程图。\n[0028] 图4为根据在此描述的系统，所执行的与执行确认有关的步骤的流程图。\n[0029] 图5为根据在此描述的系统，所执行的与产生凭证有关的步骤的流程图。\n[0030] 图6为根据在此描述的系统，所执行的与根据凭证核对证明有关的步骤的流程图。\n[0031] 图7为根据在此描述的系统的示意图，包括对其物理访问将被限制的区域。\n具体实施方式\n[0032] 参考图1A，图20示出了一般连接22，具有多个电子设备24-26连接到该连接。尽管图20示出了三个电子设备24-26，在此描述的系统可与任何数量的电子设备一起工作。\n连接22可被实施为直接电子数据连接、通过电话线的连接、LAN、WAN、因特网、虚拟专用网、或任何其它用于提供数据通信的机构。电子设备24-26可代表一个或多个膝上型计算机、台式计算机(在办公室中或在雇员家中或其它位置)、PDA、移动电话、磁盘驱动器、海量存储设备、或任何其它可用于限制对其的访问的电子设备。在在此的实施例中，电子设备\n24-26代表可由机构的雇员使用的台式或膝上型计算机，在用户/雇员离开机构和/或计算机之一被丢失或偷窃时机构希望限制对电子设备的访问。当然，可以有其它限制对一个或多个电子设备24-26的访问的原 因，在此描述的系统可与任何适当的实施方式一起使用。\n[0033] 管理实体28设定允许用户访问电子设备24-26的策略。例如，管理实体28可确定特定用户U1不再有权访问任何电子设备24-26，而另一用户U2可访问电子设备24但不可访问其它电子设备25、26。管理实体28可使用任何策略用于设定用户访问。\n[0034] 管理实体28提供多个证明，其经连接22传输给电子设备24-26。证明可通过其它手段提供给电子设备24-26，这些手段将在下面详细描述。电子设备24-26接收所分配的证明，使用内部保存的凭证(在本说明书别处详细描述)，确定对其的访问是否应被允许。可选地，证明分配实体32也可被连接到连接22及管理实体28。证明分配实体32提供证明给电子设备24-26。在在此的实施例中，证明仅对一个用户和电子设备24-26之一有效，可选地，仅在某一日期或日期范围有效。\n[0035] 证明可使用美国专利5，666，416中公开的类似机制提供，该专利通过引用组合于此，其中，每一电子设备24-26将管理实体28(或其它经授权的实体)签署的数字证书作为凭证进行接收，数字证书包含特殊值，其代表单向函数应用到初始值N次后的值。在每一新的时间间隔，电子设备可被呈现以证明，其由通过应用单向函数获得的N个值中之一组成。\n在该例子中，电子设备24-26可通过多次应用单向函数以获得数字证书中提供的特殊值而确认证明是合法的。该机制及其它可能的机制均在本说明书别处详细描述。\n[0036] 也可使用麻萨诸塞州Cambridge的CoreStreet，Ltd.提供的一个或多个产品提供在此提出的适当凭证和证明，或使用任何其它用于产生独特证明的机制，其1)仅可已由管理机构(不存在管理安全违背)产生；及2)不能用于产生任何其它证明。因此，证明使得，给定合法证明P1，未经授权的用户不可产生另一表面上合法的证明P2用于不同的目的(例如，用于不同的时间间隔、不同的设备等)。因而，发出的证明可以非保密方式保存和分发，这实质上降低了系统成本。当然，对产生凭证和/或证明的实体保持适当的安全性及对任何 未发出(如未来的)的证明保持适当的安全性是有利的。\n[0037] 此外，拥有合法证明P1-PN的未经授权的用户不可产生新证明PN+1。这在许多情况下是有利的。例如，被终止雇用关系的雇员在终止之后即使其还拥有他被公司雇用时用于膝上型计算机的所有先前的合法证明，其自己也不可产生新证明以提供对其公司膝上型计算机的未经授权访问。\n[0038] 在在此的实施例中，电子设备24-26为具有执行在此描述的处理的固件和/或操作系统软件的计算机，证明用于阻止对其的未经授权登录和/或访问。在启动基础上和/或在足够时间已消逝之后，计算机应要求适当的证明以进行运行。在该实施例中，在此描述的功能可与标准Windows登录系统(及BIOS或PXE环境)结合。管理实体28可与公司Microsoft网络的普通用户管理工具结合并允许管理员为每一用户设定登录策略。在许多情况下，管理实体28能够从现存的管理信息导出所有所需要的信息，其使该新功能对管理员几乎透明并降低了培训和采用成本。管理实体28可在企业网络内运行或由膝上型计算机制造商、BIOS制造商或其它受托伙伴存放为ASP模型。证明分配实体32可部分在企业网络内运行、部分在全球站点运行。由于证明不是敏感信息，证明分配系统的可全球访问的储存库可作为网络服务运行，从而使证明可用于企业网络之外的用户。\n[0039] 在在此的实施例中，每一计算机每天应要求新证明。然而，本领域一般技术人员应意识到的是，时间增量可被改变，使得计算机可每周要求新证明或每小时要求新证明。\n[0040] 此外，还可能利用IDE硬盘驱动器的很少使用的特征，其允许在驱动器上设置密码，在驱动器将旋转并允许访问内容之前密码必须被呈现给驱动器。如果驱动器的固件被修改以使用在此描述的系统，则对硬盘驱动器的访问可能被限制，使得即使将硬盘驱动器放置在不同的计算机中也不能访问计算机硬盘驱动器。该特征可与其它类型的硬盘驱动器一起实施。\n[0041] 在其它实施方式中，系统可用于访问数据文件、实际盘卷、逻辑 卷等。在一些情况下，如限制访问文件的情况下，其可用于对相应的操作系统进行适当的修改。\n[0042] 参考图1B，图20’示出了具有多个管理实体28a-28c的另一实施例。尽管图20’示出了三个管理实体28a-28c，在此描述的系统可与任何数量的管理实体一起工作。在图\n20’所示的实施例中，可能管理实体28a-28c之一(如管理实体28a)产生凭证，而管理实体\n28a-28c中的其它实体(如管理实体28b、28c)产生证明，或所有管理实体28a-28c均产生证明。可选地，可使用证明分配实体32。\n[0043] 参考图1C，图20″示出了具有多个证明分配实体32a-32c的另一实施例。尽管图20″只示出了三个证明分配实体32a-32c，在此描述的系统可与任何数量的证明分配实体一起工作。图20″所示的实施例可使用麻萨诸塞州Cambridge的Akamai Technologies Incorporated提供的技术实施。\n[0044] 参考图1D，图20”’示出了具有多个管理实体28a’-28c’和多个证明分配实体\n32a’-32c’的另一实施例。尽管20”’只示出了三个管理实体28a’-28c’和三个证明分配实体32a’-32c’，在此描述的系统可与任何数量的管理实体和证明分配实体一起工作。图\n20”’所示的实施例结合了图1B所示实施例的特征和图1C所示实施例的特征。\n[0045] 参考图2，其详细示出了电子设备24，其包括确认单元42、凭证数据44和证明数据\n46。确认单元42可使用硬件、软件、固件或其结合实施。基于某些条件，如启动，确认单元\n42接收启动信号，其使得确认单元42检查凭证数据44和证明数据46，基于检查结果，产生表明合法证明已被呈现的通过信号或产生失败信号。确认单元42的输出由继续处理/设备如计算机启动固件使用以确定操作是否可继续。\n[0046] 在在此的实施例中，电子设备24包括外部接口48，其由确认单元42控制。如确认单元42一样，外部接口48可使用硬件、软件、固件或其结合实施。外部接口48被连接到连接22，并用于取回可被保存在证明数据46中的新证明。因而，如果确认单元42确定保存在 证明数据46中的证明不充分(例如已过期)，确认单元42提供信号给外部接口48以使外部接口48经连接22请求新证明。当然，如果电子设备24已被丢失和/或偷窃或如果用户为已终止的雇员或如果有任何其它不允许访问电子设备24的原因，则外部接口48将不能获得有效证明。在一些实施例中，外部接口48提示用户进行适当的电子连接(例如，将膝上型计算机连接到网络)。\n[0047] 在在此的实施例中，时间数据52提供信息给确认单元42以指明有效证明被呈现给确认单元42的最近一次时间。该信息可用于阻止太频繁地请求证明，同时防止在请求新证明之前等待得太久。确认单元42、外部接口48、凭证数据44、证明数据46、及时间数据52的相互作用和使用在本说明书别处详细描述。\n[0048] 参考图3，流程图70示出了确定是否发送启动信号给确认单元42所执行的步骤，以确定确认单元42是否应检查凭证数据44和证明数据46以产生通过或失败信号。处理开始于第一步骤72，其确定启动操作是否正被执行。在在此的实施例中，证明总是连同启动操作一起进行检查。因此，如果在测试步骤72确定启动正被执行，则控制从步骤72转到步骤74，启动信号被发送给确认单元42。在步骤74之后是步骤76，在再次循环之前进程等待预定长的时间。在在此的实施例中预定的时长可以是一天，尽管其它时长也可被使用。在步骤76之后，控制转回到如上述的测试步骤72。\n[0049] 如果在测试步骤72确定启动操作未被执行，则控制从测试步骤72转到测试步骤\n78，其确定自上次运行确认单元42之后预定的时间量是否已消逝。这可通过使用时间数据元件52或许及当前系统时间进行确定。在在此的实施例中，在测试步骤78使用的预定时间量为一天。如果在测试步骤78确定自上次运行确认单元42以来的时间量大于预定时间量，则控制从测试步骤78转到步骤74，启动信号被发送给确认单元42。在步骤74之后或在测试步骤78之后(如果时间量不大于预定时间量)是如上所述的步骤76。\n[0050] 参考图4，流程图90示出了确认单元42确定是否已接收足够的 证明所执行的步骤。如本说明书别处所述，确认单元42发送或通过或失败信号给后继处理/设备(如计算机启动固件或磁盘驱动器固件)。处理开始于第一步骤92，确认单元42确定必须的证明。\n必须证明为确认单元42确定的足以能够发送通过信号的证明。确认单元42通过检查凭证数据44、证明数据46、时间数据52、甚至内部/系统时钟来确定必须证明。在步骤92之后是测试步骤94，其确定适当的证明是否可本地获得(即在证明数据46中)及本地提供的证明是否满足必要的要求(本说明书别处描述)。如果是，则控制从步骤94转到步骤96，确认单元42发出通过信号。在步骤96之后，处理结束。\n[0051] 在一些实施例中，可能并希望获得并保存未来的证明于证明数据46中。例如，预计不能连接到管理实体28和/或证明分配实体32的用户可获得和保存未来的证明。在这些实施例中，当电子设备连接到管理实体28和/或证明分配实体32时，其可自动轮询未来的证明，其可根据重新定义的策略提供，或者(或此外)，用户和/或电子设备明确请求未来的证明也是可能的，其可以也可不根据控制策略提供。\n[0052] 如果在测试步骤94确定适当的证明不可本地获得(即在证明数据46中)，则控制从测试步骤94转到测试步骤98，确认单元42确定适当的证明是否可从外部获得，例如如上所述，通过提供信号以使外部接口48试图取回证明。如果在测试步骤98确定外部提供的证明满足必要的要求(本说明书别处描述)，则控制从测试步骤98转到步骤96，如上所述，确认单元42发出通过信号。在在此的实施例中，外部提供的证明被保存在证明数据46中。\n[0053] 如果在测试步骤98确定适当的证明不可从外部获得，或因为没有适当的连接或因为其它原因，则控制从测试步骤98转到步骤102，用户被提示输入适当的证明。在在此的实施例中，如果用户在没有适当电连接的位置，用户可呼叫特定的电话号码并接收数字形式的适当证明，其可连同步骤102提供的提示手动输入到电子设备中。当然，用户可通过其它手段接收证明，如被手写、打字、甚或出版在报纸中的证明(例如，在分类区域)。\n[0054] 在步骤102之后是测试步骤104，其确定用户是否已输入满足必要要求的证明(如本说明书别处所述)。如果是，则控制从测试步骤104转到步骤96，如上所述，确认单元42发出通过信号。否则，控制从测试步骤104转到步骤106，确认单元42发出失败信号。在步骤106之后，处理结束。\n[0055] 参考图5，流程图120示出了产生确认单元42所使用的凭证所执行的步骤。流程图120的步骤可由产生凭证(及一系列证明)的管理实体28执行并提供凭证给电子设备\n24。其它适当的实体(如经管理实体28授权的实体)可产生凭证。在在此的实施例中，随机值可连同产生凭证和证明一起使用，通常是不可预测的。在步骤122之后是步骤124，下标变量I被设定为1。在在此的实施例中，所提供的凭证被用于全年且每天需要新证明，从而365个独立的证明可连同产生凭证一起产生。下标变量I用于跟踪被产生的证明的数量。\n在步骤124之后是步骤126，初始证明值Y(0)被设定为等于在步骤122确定的随机值RV。\n[0056] 在步骤126之后是测试步骤128，其确定下标变量I是否大于端值IEND。如上所述，在在此的实施例中，365个证明连同产生凭证一起产生，从而，在该实施例中，IEND为\n365。然而，对于其它实施例，可将IEND设定为任何数。\n[0057] 如果在测试步骤128确定I值不大于IEND，则控制从步骤128转到步骤132，Y(I)被设定为等于单向函数应用到Y(I-1)。在步骤132使用的单向函数是这样的函数，给定应用单向函数的结果，其几乎不可能确定被输入单向函数的值。因而，对于在步骤132使用的单向函数，给定Y(I)，非常难并非不可能确定输入值(在该例子中Y(I-1))。如在此使用的，术语单向函数包括任何适当提供该特性的函数或运算，包括但不限于传统的单向散列函数和数字签名。在步骤132使用的单向函数的该特性可用于能够以不保密方式保存和分发发出的证明，如本说明书别处所述。凭证和证明可在不同的时间产生或 证明可由产生凭证的实体或另一实体在稍后的日期产生。注意，对于其它实施例，在这方面，可能使Y(I)不是Y(I-1)或任何其它Y的函数。\n[0058] 处理开始于第一步骤122，随机值RV被产生。在步骤132之后是步骤134，下标变量I加1。在步骤134之后，控制转回到测试步骤128，如上所述。如果在测试步骤128确定I大于IEND，则控制从测试步骤128转到步骤136，终值FV被设定为等于Y(I-1)。应注意，I被减1，因为I被递增超出IEND。在步骤136之后是步骤138，管理实体28(或产生证明和凭证的其它实体)数字签署终值、当前日期、及其它连同证明一起使用的信息。在在此的实施例中，其它信息可用于识别特定的电子设备(如膝上型计算机)、特定用户、或将凭证和证明绑定到特定电子设备和/或用户和/或一些其它财产的其它信息。可选地，日期和/或FV可与其它信息结合。例如，可使用类似OCSP签署的消息，其简单地说“device #123456 is valid on1/1/2004”或使miniCRL中对应于特殊设备的位为on或off。在这些情况下，设备上的凭证可鉴定设备(即确定设备真地是设备#123456等)。OCSP和miniCRL均为现有技术中公知的。在步骤138之后，处理结束。\n[0059] 参考图6，流程图150示出了确认单元42确定证明的有效性时所执行的步骤。处理开始于第一步骤152，确认单元42接收证明(例如，通过从证明数据44读取证明)。在步骤152之后是步骤154，确认单元42接收凭证(例如，通过读凭证数据46)。\n[0060] 在步骤154之后是测试步骤156，其确定连同凭证提供的其它信息是否匹配。如本说明书别处所述，其它信息包括电子设备的标识、用户的标识、或其它财产识别信息。如果在测试步骤156确定与凭证相关联的其它信息与其它信息描述的特定财产不匹配(例如，凭证用于不同的电子设备或不同的用户)，则控制从测试步骤156转到步骤158，失败信号被提供。在步骤158之后，处理结束。\n[0061] 如果在测试步骤156确定与凭证相关联的其它信息匹配，则控制 从测试步骤156转到步骤162，变量N被设定为等于当前日期减去与凭证相关的日期(即自凭证被发出之后的天数)。在步骤162之后是步骤164，在步骤152提供的证明值具有单向函数应用到其N次。在步骤164使用的单向函数对应于在步骤132使用的单向函数，如上所述。\n[0062] 在步骤164之后是测试步骤166，其确定在步骤164获得的结果是否等于终值FV，FV是在步骤154接收的凭证的一部分。如果是，则控制从测试步骤166转到步骤168，确认单元42提供通过信号。否则，如果在测试步骤166确定在步骤164获得的结果不等于随步骤154的凭证提供的终值FV，则控制从测试步骤166转到步骤172，确认单元42提供失败信号。在步骤172之后，处理结束。\n[0063] 数字签名可提供有效形式的因特网鉴别。与传统的密码和PIN不一样，数字签名可提供到处可验证且不可否认权威的鉴别。数字签名可经签署密钥SK产生并经匹配的验证密钥PK验证。用户U对其自己的SK保密(使得只有U可代表U签署)。幸运的是，密钥PK不会“背叛”相匹配的密钥SK，即，知道PK在计算SK时并不会给予敌人任何实际的好处。因此，用户U可使其自己的PK尽可能地公开(从而每个人均可验证U的签名)。为此，PK最好被称为公钥。注意，术语“用户”可表示用户、实体、设备或用户、设备和/或实体的集合。\n[0064] 公钥还可用于非对称加密。公用的加密钥PK可与相匹配的解密钥SK一起产生。\n再次地，知道PK不会背叛SK。任何消息可容易地使用PK加密，但经那样计算的密文仅可经知道密钥SK才可容易地解密。因此，用户U可使其自己的PK尽可能地公开(使得每个人均可为U加密消息)，但保持SK专用(使得只有U可读为U加密的消息)。\n[0065] 公知的RSA系统提供数字签名和非对称加密的例子。\n[0066] 文字数字字符串调用的证书规定给定密钥PK是给定用户U的公钥。实体，通常称为发证机构(CA)，产生并发出证书给用户。证书在指定时间后过期，在公共CA的情况下，通常为一年。实际上，数字证书(C)由CA的数字签名将几个数值安全绑定在一起组成：SN- 对证书唯一的序列号、PK-用户的公钥、U-用户的名称、D1-发行日期、D2-有效期、及AI-另外的信息(包括没有信息)。表示成符号，C＝SIGCA(SN，PK，U，D1，D2，AI)。\n[0067] 公用的加密钥还可提供鉴别/识别手段。例如，一方知道特定公用加密钥PK属于特定用户U(如因为该方已验证U的相应数字证书及PK)并渴望识别U，其可使用PK加密随机挑战C，并要求U以正确的解密应答。由于只有SK的处理器(因而U)可做这项工作，如果对挑战的应答是正确的，U被完全识别。\n[0068] 可提供系统控制对使用智能门(和/或智能虚拟门，参见本说明书别处的描述)的区域的物理访问。智能门可验证正进入的人在当前已被授权进入。向门不仅提供以特定用户的凭证而且提供以单独的证明是有利的，凭证/用户在某种程度上依然有效，其甚至可由不连通的门安全使用。在实施例中，这样的证明按下述产生。假定凭证向门指明用户可进入。接着，对于每一凭证和每一时间间隔(如每天)，适当的实体E(如决定谁被授权在任意时间访问该门的实体或为该实体工作的第二实体)计算经鉴定的指示(PROOF)，其为特定凭证在特定时间间隔是有效的指示。(如果凭证没有确定门用户被授权进入，PROOF还可向门指明凭证在特定时间间隔有效)。\n[0069] E的PROOF可由E的数字签名组成，其以经鉴定的方式指明特定凭证在特定时间间隔是有效的，例如：SIGE(ID，Day，Valid，AI)，其中ID为识别凭证的信息(如凭证的序号)，Day为特定时间间隔的指示(普通的特定天)，Valid为凭证被视为有效的指示(如果E从未签署类似的数据串该指示可被省略，除非凭证被视为有效)，AI指示任何视为有用的额外信息(包括没有信息)。在一些情况下，E的签名可以是公钥签名(但其也可是私钥签名，即，可经单一秘密密钥产生和验证的签名，只有签署者和验证者知道)。如果凭证包括数字证书，一次等实施例可包括短期证书，即，对所需时间间隔重新发出凭证的数字签名(例如，数字证书指明同一公钥、同一用户U和一些其它基本信息，但还指明开始日期和期满日期以确定想要的、普通的 日子)。例如，在次等实施例中，普通地让短期证书持续一天，PROOF可采取SIGE(PK，U，D1，D2，AI)的形式，其中开始日期D1指明特定日子D的开始，结束日期D2指明日子D的相应结束，或D1＝D2＝D；或者，更简单地，使用单日期信息字段确定正被讨论的日子，SIGE(PK，U，Day，AI)。如果E与原始发证机构相符，短期证书PROOF可采取下述形式：SIGCA(PK，U，D1，D2，AI)或SIGCA(PK，U，Day，AI)。\n[0070] 作为被鉴定的用户不可产生当时其自身的PROOF(即其自身凭证当时的PROOF)，也不能将其昨天的PROOF改为今天其自身的PROOF，也不能将另一用户今天的PROOF改为其自己今天的PROOF。因为PROOF实质上是非延性且不能变更的，这些PROOF不必须被保护。因而，实体E可以可忽略的成本使PROOF可用。例如，E可将特定日子的所有PROOF发布在因特网上(如使PROOF可经Akamai服务器或类似物获得)，或将PROOF发送给用户容易接近的应答器/服务器。例如，发送给位于机场(或办公楼)入口的服务器，许多应被恰当访问的门位于那里。这样，来工作的雇员可容易地获得其自己的PROOF(如通过将其自己的卡插入与服务器连接的读卡机)并表示将PROOF保存在其自己的卡上，连同其自己的凭证。这样，当用户将其卡呈现给其凭证授权访问的门时，门不仅可验证凭证而且可接收和验证当前授权的PROOF，根本不需连接。门验证PROOF(如经自安装后可保存的E的公钥验证E的数字签名)及PROOF指明的时间间隔是否正确(如经其自身的本地时钟)。如果一切正常，则门准许访问，否则门拒绝访问。实质上，门可以是不连通的门，其PROOF验证相对容易(因为门可接收大多数可用方的PROOF：真实用户要求访问)和相对安全(尽管门从可论证地大多数可疑方接收PROOF：真实用户要求访问)。实际上，用户要求访问通常可以是在物理上接近门，因而可非常容易地提供PROOF，而不用使用任何连接到远处站点的连接，因而可独立于门的连通性运行。同时，在至关紧要的时刻，用户要求访问可能是最不可信赖的信息源。但是，因为用户不可以任何方式产生或改变其自己当前有效性的PROOF，门可注意适当验证的PROOF必须由E产生，且如 果E知道用户在特定时间间隔将不被授权则E不应产生PROOF。当用户被停止授权时，E将停止发出该用户授权的PROOF，因而用户不再能进入相应的门(甚至不连通的门)，因为用户将缺少门需要验证以准许访问的PROOF。因此，通过使用用户要求访问来证明适当及当前的授权，在此描述的相同免除了与其它系统相关的不方便，即不需要分派全体人员去对不连通的门重编程序。\n[0071] 该方法还使人们能够按“角色”(或按“特权”)管理不连通的门的访问。即，不使用凭证指定用户被授权进入的门并接着如每天发出凭证当前有效性的PROOF(也不是发出指明特定凭证授权其用户在特定时间间隔进入某些门的PROOF)，不连通的门可被编程(如在安装时)以仅准予具有特定角色的用户进入。例如，飞机的驾驶员座舱门可被编程以仅准予飞行员(PILOT)和检查员进入。凭证可被发给雇员以主要保证他们的身份(这不会变)，同时E如每天对特定凭证发出的每一PROOF还可指定(如在AI字段中)其相应用户在那天的角色。例如，PROOF＝SIGE(ID，Day，PILOT，AI)证明在那天对应于ID所确定的凭证的用户为飞行员。这样，雇员可从一个角色“转换”为下一角色，而不用为他们重新发出凭证，且不需要在用户凭证或其相应的每日PROOF内指明用户可在那天进入哪些门。应注意，这样的门的数量可以非常大。因而，在用户凭证内指明用户被准予进入的所有门是非常麻烦的。此外，如果增加新的门(例如因为购买了新飞机)，则飞行员的凭证不得不重新发出以指定额外的门，这也非常麻烦。\n[0072] 适于特定凭证的时间间隔可在凭证本身内指定，或可由凭证和PROOF一起指定。\n例如，凭证可指定特定的开始日期且其需要被每天证明有效，而PROOF可指定时间间隔\n244，其意味着PROOF指凭证中指定的开始日期之后的日子244。\n[0073] 在此描述的系统相对于更昂贵的连通门系统也是有利的。例如，假设所有门均被安全地连接到中央数据库，及假设发生突然断电(如由于阴谋破坏)。则连通门可能被迫使在两个极端选择之间选择：一直打开(有利于安全但不利于保密，特别是在恐怖分子导致断电的情 况下)及一直关闭(不利于安全但有利于保密)。通过对比，在突然断电的情况下，在此描述的系统提供更灵活的反应，一些(不再)连通的门可保持一直关闭，而其它门一直打开，且其它门还可继续按在此描述的不连通门访问控制进行运行。即，只要正确的凭证和正确的PROOF被呈现，则依赖于电池的门可打开。实际上，在断电发生之前，所有雇员可能已正常接收他们的预期PROOF。\n[0074] 当然，实体E可产生对不同凭证指定不同时间间隔的PROOF。例如，在机场设施中，警员和应急人员可每天具有指定下两周作为相应时间间隔的PROOF，而所有正常的雇员可具有仅指定所述日子的每日PROOF。在长期及意外断电的情况下，这样的系统可提供更好的控制。如果发生那样的断电，PROOF的每日惯常分配可能被中断，一般雇员可能未接收他们的每日PROOF，但警察和紧急事件处理人员依然可在他们的卡中输入他们在头天接收的两周证明，因而可继续在他们被准予进入的所有门(如所有门)处起作用。\n[0075] 应意识到的是，在此描述的方法包含使用由简化形式的证书构成的凭证，其可被称为最小证书。最小证书实质上可省略用户名和/或证书的标识符ID(或用证书的公钥代替用户名和/或标识符ID，每一证书的公钥是唯一的)。例如，最小证书凭证可采取C＝SIGCA(PK，D1，D2，AI)的形式，应理解该凭证的正确呈现包括证明对应于PK的秘密密钥SK的知识(如通过挑战-应答方法)。门预先知道关于PK的凭证的正确呈现(首选地，如果当前被确认)是否应导致准予进入。或者，最小凭证C可指定(如在AI中)知道相应SK的用户是否有权进入特定的门。如果理解任何类似的签名通过暗示表明有效性，关于其公钥为PK的最小证书的PROOF可以是下述形式：SIGE(ID，Day，Valid，AI)或SIGE(PK，Day，Valid，AI)或SIGE(ID，Day，AI)。或者，最小证书的当前PROOF可采取重新发出最小短期证书的形式：如，SIGE(PK，D1，D2，AI)，其中开始日期D1指特定日子D的开始，D2相应为日子D的结束，或D1＝D2＝D；或者，SIGE(PK，Day，AI)；或者，让E与最初发证机构一致，SIGCA(PK，D1，D2，AI)or SIGCA(PK，Day，AI)。总之， 在此描述的任何致力于证书的方法均应被理解为也可应用最小证书。\n[0076] 智能门可验证用户的凭证的有效性和流通，凭证可伴随相应的证明。用户使用凭证/证明以获得对区域的访问类似于在控制电子设备的访问时使用凭证/证明，如本说明书别处所述。下述为凭证/证明的例子，其中部分可与其它结合：\n[0077] 1、PIN或密码，在与门相关联的键座输入或通过用户卡通信给门；\n[0078] 2、生物测定信息，由用户经与门相关联的特殊输入机提供；\n[0079] 3、传统(手写)签名，由用户经与门相关联的特殊签名簙提供；\n[0080] 4、用于公钥PK的数字证书(如，这样的凭证可被保存在用户卡中，正确的用户/卡可使用相应的秘密密钥SK鉴定/识别其对于门的身份一如经挑战应答协议)。例如，如果PK是签名公钥，门可要求已签署特定的消息，且正确的用户-唯一知道相应秘密签署密钥SK的人-可提供正确的被请求的签名；如果PK是公开的加密密钥，门可请求使特定挑战加密密文被解密，这可由知道相应秘密解密密钥SK的正确用户完成。\n[0081] 5、包括每日“确认值”(其确保证书在该特定日期有效)的增强数字证书，保存在用户卡中并通信给门；\n[0082] 6、确认用户的证书在当前时间有效的中央机构的数字签名，其提供服务器或应答器通信给门；\n[0083] 7、保存在用户卡中并通信给门的数字证书及通过服务器或应答器通信给门的每日“确认值”；\n[0084] 8、保存在用户卡中的秘密，其知识由门具有的交互(可能零知识)协议向门证明；\n[0085] 9、机构的秘密密钥签名，保存在用户卡中，其指示用户被授权在特定日子进入。\n[0086] 因而，在一些情况下，凭证/证明被作为一体提供，而在其它情况下，凭证/证明以分开部分的形式提供：凭证及分开的证明。例如，在凭证/证明由包括指示证书在该特定日期有效的每日确认值的增强 数字证书构成且与用户相关联并被通信给门时，凭证(增强的数字证书)可独立于证明(每日确认值)提供(通过不同的手段和/或在不同的时间)。\n类似地，凭证和证明可均由同一机构产生或由不同的机构产生。\n[0087] 参考图7，其示出了包括区域202的系统200，其中对区域202的物理访问将被限制。区域202由多个墙204-207封闭。墙207具有门212，以提供区域202的出口。在其它实施例中，可使用一扇以上的门。墙204-207及门212提供区域202的访问障碍。门212可使用电子锁214锁上，其防止门212打开，直到电子锁214接收适当的信号为止。电子锁\n214可使用提供在此描述的功能的任何适当元件实施，包括但不限于使用不用定制的电子锁。\n[0088] 电子锁214可被连接到控制器216，其提供适当信号给电子锁214以允许门212被打开。在一些实施例中，电子锁214及控制器216可被提供在单一装置中。控制器216可被连接到输入装置218，其可接收用户的凭证，可选地，还接收指明用户在当前被准予进入区域202的相应证明。输入装置218还可接收紧急合法性取消警报(HRA)，其表明用户不再被允许进入区域202。HRA将在下文中详细描述。输入装置218可以是任何适当的输入设备如键座、读卡机、生物测定装置等。\n[0089] 可选地，控制器216可具有外部连接222，其可用于将数据传输到控制器216或从控制器216传输数据。外部连接222可以是保密的，尽管在一些实施例中外部连接222不需要保密。此外，外部连接222可能不需要，因为在此描述的功能可能使用不具有外部连接的独立装置提供。在提供外部连接222的例子中，外部连接222可用于传输凭证、证明、HRA和/或用于联机对区域202的访问。联机访问将在本说明别处详细描述。应注意，外部连接222可以是断续连接，使得，例如，在某些时间外部连接222提供对控制器216的连通性，而在其它时间控制器216没有外部连接。在一些情况下，外部连接222可用于传输一部分凭证/证明(如PKI数字证书)，而用户向输入装置218 呈现凭证/证明的剩余部分(如连同数字证书使用的每日确认值)。\n[0090] 在一些实施例中，用户可将卡224呈现给输入装置。如本说明书别处所述，卡224可以是提供数据(如凭证/证明)给输入装置218的智能卡、PDA等。卡224可从应答器\n226获得部分或所有数据。在其它例子中，卡224可从其它卡(未示出)、输入装置218(或与访问区域202相关联的一些其它机构)、或一些其它适当源获得数据。\n[0091] 在第一例子中，凭证和证明可使用具有物理保护的pin/口令进行维护。在该例子中，每天早上服务器为每一经授权的用户U产生新的秘密口令SU并将新的SU通信给U被允许访问的具体的门。通信可使用非保密线路加密发送或可经一些其它保密手段传输给门。当U在早上来上班时，中央服务器使U的卡接收当前秘密口令SU。秘密口令SU被保存在卡的安全存储器中，其仅可在卡被适当授权时才被读(如通过用户输入与卡有关的秘密PIN或通过与服务器或门上的受托硬件连接)。无论用户试图在何时进入门，卡均安全地将SU通信给门。门接着检查从卡接收的值SU是否与早上从服务器接收的值匹配，如果是，则允许进入。\n[0092] 因而，SU为当天的用户凭证。该系统优点在于每一凭证仅具有有限的持续时间：\n如果雇员被终止雇用关系或其卡被偷窃，其凭证在第二天将没有用。然而，系统要求某些连通：至少需要短期连通(最好每天早上)以更新门。该传输应被保密(如物理上或使用密码)。\n[0093] 在另一例子中，用户凭证包括秘密密钥签名。该例子使用签名，或公钥签名(如RSA签名)或秘密密钥签名(如报文鉴定代码或MAC)。例如，访问控制服务器使用秘密密钥SK产生签名，门具有验证这样的签名的手段(如经相应的公钥或通过共享同一SK的知识)。当用户U在日子D的早上来上班工作时，服务器使用户卡接收签名Sig，其鉴定U的辨识信息(如唯一卡号、或U的秘密口令、或生物测定信息如U的指纹)及日期D。当U试图进入门时，卡将签名Sig通信给门，其验证Sig的有效性甚至U提供的辨识信息、及门锁提供的日期。如果所有均正确，则门允许进入。\n[0094] 在该技术中，签名Sig可被当作用户的凭证连同证明。该方法具有其自身的优点：\n卡不需要保存秘密，门不需要保持到中央服务器的安全连接，也没有很长的有效凭证列表。\n[0095] 在另一例子中，用户的凭证包括具有类似于图5的流程图120产生的那些散列链有效性证明的数字证书。该例子使用公钥签名及单向散列函数H(实现特殊类型的数字签名)。中央机构具有密钥对：公钥PK(为门所知道)和通常不被知道的秘密密钥SK。对于用户U，机构产生随机秘密值X0并计算值X1＝H(X0)、X2＝H(X1)、...、X365＝H(X364)。\n因为H是单向散列函数，X的每一值不能从X的下一值计算。机构向U发出数字证书Cert，使用SK签署并包含值X365，对一年有效。接下来，当U在日子i来上班工作时，机构使用户卡接收该天的确认值Xj，其中j＝365-i。当U试图进入门时，卡将确认值Xj和包含X365的证书Cert通信给门。门用机构的公钥PK验证Cert的有效性并还检查向Xj应用i次H是否产生X365。应注意，“一年”和365可用任何其它时间周期代替。\n[0096] 因而，用户的证书Cert及确认值Xj组成用户的凭证/证明。该系统具有许多优点：门及卡均不需要保存任何秘密；门不需要具有任何安全连接；证书可一年发出一次，且其后中央机构上的每日计算负载最小(因为机构只需要检索Xj)；每日确认值可由非保密(便宜)布置的应答器提供，因为它们不需要隐秘。\n[0097] 用户U的凭证/证明的持续时间通常被限制，这在许多情况下是有用的。例如，如果U是机场的雇员并被终止雇用关系，其凭证/证明可在该天结束时过期，其不再能够进入机场的门。为更精确的访问控制，可能希望具有更短持续时间的凭证。例如，如果U的凭证/证明包括小时和分钟及日期，则U可在被终止雇用关系后一分钟内被锁在机场的外面。然而，较短持续时间的凭证/证明要求更频繁的更新，这增加了系统的花费。因而，在希望具有短期凭证和具有低成本系统之间存在固有平衡，这可导致凭证的持续时间有时较所希望的长。例如，U可能需要立刻在机场的外面，但其凭证直到午夜才过期。因此， 希望能够立即撤消尚未过期的凭证。\n[0098] 应注意，如果凭证/证明一直被保存在安全数据库中，每次请求访问时门均查询数据库，则可通过从数据库中移除被取消的凭证/证明而相当直接地取消凭证/证明。然而，使门每次查询安全数据库花费昂贵。首先，因为这增加了事务处理的很大延迟，由于用户想立刻进入门，但他必须等待查询被适当地完成。第二，因为该通信首选是在安全通道上进行，这可轻松地就每门花掉$4,000(或更多)或在某些情况下根本达不到(如飞机或货物集装箱的门)。第三，因为单一安全数据库仅可处理有限的查询负载，且复制安全数据库本身非常昂贵和耗时(例如，因为保持数据库安全的花费必定翻倍且保持这些拷贝同步的努力也必定增加)。因此，与全流通的方法不一样，不连通或断续连通方法(如上述例子)要求更少的通信且通常将凭证/证明保存在非保密的应答器或卡上。在这种情况下，简单地从数据库移除凭证/证明并不足够。再次参考上述例子，口令SU或机构签名或确认值Xj由于某种原因不得不被从用户卡或门删除。此外，即使这样的删除也不总是保证凭证的取消，因为保存在无保证的应答器中的凭证可为任何人获得，包括恶意攻击者，其将凭证保存并在凭证从用户卡删除之后试图使用该凭证。因而，即使具有有限持续时间凭证的效能成本合算解决方案存在，这些解决方案本身没有必要提供未过期凭证/证明的充分取消。\n[0099] 取消凭证/证明可使用紧急合法性取消警报(HRA)执行，其是传输给门的数据段(最好是经鉴定的)，其将阻止门授权具有取消的(尽管可能未过期)凭证/证明的用户访问。例如，HRA可由数字签署的消息组成，其指明特定凭证/指明已被取消。然而，应注意，在安全连通的门的情况下，只沿受保护的连接发送HRA可能并不足够。然而，如上所述，在一些情况下安全连通的门非常昂贵，而在其它情况下则不可能(或几乎接近于不可能)使用那样的门。\n[0100] 如果HRA被鉴定是有用的，从而HRA被呈现给其的实体可相对确定HRA是真实的。让ID作为被取消的凭证/证明C的标识符(具体地， ID可与C本身一致)，则SIG(ID，″REVOKED″，AI)可以是HRA，其中“REVOKED”代表任何方式的C已被取消的信令(″REVOKED″可能是空串，如果凭证/证明被取消的事实可通过其它手段推断-如全系统约定除了取消的情况，这样的签署的消息未被发送)，及AI代表任何额外的信息(可能是日期信息-如当凭证/证明已被取消时的时间和/或HRA被产生时的时间或没有信息)。具体地，数字签名SIG可以是公钥签名、秘密密钥数字签名、或报文鉴定代码。通过适当地加密信息而发出经鉴定的HRA也是可能的。例如，经鉴定的HRA可采取ENC(ID，″REVOKED″，AI)的形式。\n[0101] 经鉴定的HRA的另一值得注意的例子在美国专利5,666,416中描述，其通过引用组合于此。发出机构将凭证/证明C组合到对C唯一的(数字签名方案的)公钥PK中，从而关于PK的数字签名指明C被取消。在这样的方案的特殊实施例中，PK可由值Y1组成，其计算为Y1＝H(Y0)，其中H为(最好散列)单向函数，Y0为秘密值。当凭证/证明C被取消时，仅由Y0组成的HRA被发出。这样的HRA可通过散列Y0并检查结果是否与属于凭证/证明C的值Y1匹配而进行验证。\n[0102] 应注意，签名可能不被要求用于HRA。例如，在安全连通门的情况下，仅沿受保护的连接发送(ID，″REVOKED″，AI)足以作为HRA。然而，经鉴定的HRA的优点在于HRA本身不必是秘密的。经鉴定的HRA，一旦被适当的机构鉴定，可被保存在一个以上(可能在地理上分散)的应答器上。此外，这些应答器可以无保护(与发出机构不一样)，因为它们没有保存秘密信息。通过复制多个无保护应答器可以较低的成本提供更高的可靠性。美国专利5,666,416的经鉴定的HRA例子的一些其它优点为：(1)HRA相当短(能够为20字节那样短)；(2)相当容易计算(简单地，先前保存的Y0的查表)；及(3)相当容易验证(只应用一次单向散列函数)。\n[0103] 经鉴定的HRA特别有利于有效的广泛传播，如下面进一步描述的那样。当HRA通过接近门的多个点传输时，可能有多种可能将不正确的HRA插入系统中。实际上，由门接收的HRA不直接通过或来自经安 全连接的发行人只不过是特定凭证取消的纯粹未经证实的信息。然而，如果HRA被鉴定，该未经证实的信息可容易地由门确认，这可验证其可靠性。\n[0104] 总之，HRA对单一凭证/证明可以是明确的或可提供关于多个凭证/证明的取消信息。例如，如果ID1，…，IDk为被取消的凭证的标识符，HRA可由单一数字签名SIG(ID1，...，IDk；″REVOKED″；AI)组成。考虑门保存信息的情况，所述信息确定凭证/证明有权进入门。如果这样的门接收指明一个或多个凭证/证明被取消的HRA，门不需要保存HRA。门从其存储器删除所确定的凭证/证明就足够了(或以某种方式将它们标记为″REVOKED″)。\n接着，如果具有取消的凭证/证明的用户试图访问，门将不允许访问，因为所呈现的凭证/证明当前未被保存在门中，或如果保存在其中，但已被标记为″REVOKED″。\n[0105] 现在考虑门不保存确定所有允许的凭证/证明的信息，而是当呈现时验证凭证/证明是否被允许。当用户向这样的门呈现凭证/证明时，门可首先验证凭证/证明是否有效，不管HRA。(例如，如果凭证/证明包括数字签名，则门验证签名。此外，如果凭证/证明包括期满时间，门还可验证凭证/证明未到期，如使用内部时钟。)但即使通过所有检查，如果凭证/证明被指示为已由HRA取消，门依然可拒绝访问。因此，如果这样的门具有关于相应HRA的信息则是有帮助的。实现此的一种办法是门保存所有呈现给其的HRA。另一方面，在一些情况下，这可能不切实际。考虑许多凭证/证明可用于通过门的系统。例如，运输部门正设想规模为10,000,000凭证的系统以用于曾经被允许访问特定门的各种个体(包括飞行员、机场维护人员、航线雇员、机师、搬运工、经理人、卡车司机、警察等)。谨慎估计每年10％的取消率，则到年末门可保存有1,000,000HRA，这是花费非常昂贵的任务(如果可行的话)。此外，如果HRA的数量不能够被预先准确确定，系统的设计者不得不过高估计用于HRA的存储器容量以求保险，并在门内建立更多的存储容量(以更高的成本)。\n[0106] 该问题可借助于可删除HRA而得以解决。这意味着使HRA指明时 间分量，其指定HRA在何时可被安全地从存储器上删除。例如，在凭证/指明持续时间有限的系统中，这可通过下述步骤实现：(1)使凭证/证明包括期满时间，在期满时间之后，凭证/证明应不被门接受为有效的访问凭证/证明；(2)使取消凭证/证明的HRA包括期满时间；及(3)在期满时间之后，使门从其存储器删除取消凭证/证明的HRA。例如，凭证/证明的期满时间可以是凭证/证明过期的时间(及期满时间可明确地包括在凭证/证明内并被鉴定或其可由全系统约定暗示)。在期满时间之后删除该HRA不会损害安全性。实际上，如果门没有保存取消特定凭证/证明的HRA，可能因为门已在期满后将HRA从存储器中删除，则过期凭证/证明将被门拒绝访问。\n[0107] 应注意，在期满时间可能在HRA中暗示或间接指明的情况下，上面的步骤(2)是可选步骤。例如，HRA具有SIG(C，″REVOKED″，AI)的形式，凭证/证明可包括其自己的期满日期。此外，由于可删除HRA还可使用根本不指明被取消凭证的期满时间的HRA进行实施，上面的步骤(1)是可选步骤。例如，如果特定系统中的所有凭证均至多在一天有效，则所有HRA可在被保存一天后擦除(更一般地，如果凭证/证明的最大寿命可以某种方式推断，则相应的HRA可在被保存前述时间量之后被擦除)。至于另一例子，当被呈现具有特定期满时间的凭证/证明时，门可寻找取消凭证的HRA。如果存在且期满时间已过，则门可安全地删除HRA。否则，门可保存与所保存的HRA有关的期满时间，并在该时间之后删除HRA。\n[0108] 门可在HRA过期之后以多种方式将它们删除。在一些情况下，HRA删除可通过基于期满时间维护HRA的数据结构(如优先队列)而有效地实现。或者，门可定期查看存储器中的所有HRA并清除不再需要的HRA。作为另一选择，当遭遇HRA时，如果门意识到HRA不再有关，则门可删除HRA。例如，HRA可被保存在列表中，凭证每次被呈现以进行验证时均要检查该列表。无论在何时在该列表中遇到过期HRA，过期HRA可被删除。作为另一选择，当存储器需要被释放时(或许用于其它HRA)，门仅按需删除HRA。\n[0109] 可删除HRA可大大降低门所需要的存储容量。使用上述10,000,000用户及10％每年取消率的例子，如果HRA过期并被删除，则平均每天只有2,740(而不是1,000,000)个HRA需要被保存。该降低的存储容量要求是可删除HRA的最大潜在优势。\n[0110] HRA可为门尽可能快地获得是有用的，以将不再可接受的凭证/证明通知给门。这是不连通门存在的问题，但也可是全连通的门存在的问题。当然，当HRA被发出时，全连通的门可在门的连接上发送HRA。然而，该传输可能被坚决的敌人阻止或干扰(例如，如果到门的连接通过加密手段保密，则敌人仅可切断导线或改变/过滤行进的信号。如果到连接的门通过使导线在钢管中而进行保护，则这样的干扰和阻止可能更难，但也不是不可能)。\n这样的恶意HRA干扰和阻止对断续(如无线)连通的门可更容易地实施。\n[0111] 为使敌人更难阻止门接收HRA，HRA可由被取消的卡本身携带。例如，当卡与数据库或连通的门(或知道相应HRA的任何门)通信时，门可将HRA发送给卡，卡可保存HRA。具体地，这可在不向用户进行任何指示的情形下完成，以保护HRA免遭希望纂改卡并删除HRA的用户的损害。如果卡携带防止纂改硬件部件或不容易被用户读/删除的数据(如加密数据)，则该方法更有效。当卡在随后被使用以试图进入任何(甚至全不连通的)门时，卡可将其HRA通信给门，基于适当的验证，卡可拒绝访问(及在某些情况下，保存HRA)。\n[0112] HRA可在无线通道上(如经寻呼机或移动网络或经人造卫星)发送给卡。即使卡仅具有有限的通信能力，这也可被完成，例如通过将无线发射机放置在每一用户可能经过的地方。例如，在建筑物中，这样的发射机可被放置在每一建筑物入口，以在卡的用户无论于何时进入建筑物时为每一卡提供接收传输的机会。或者，发射机可被放置在停车场的入口等。\n[0113] 为防止怀恶意的用户阻止传输(例如，通过将卡包裹在传输信号难以渗透的材料中)，实际上，卡可要求其接收定期传输以能完全起作用。例如，卡可每5分钟期待一信号以使其时钟与系统时钟同步， 或可期望接收另一定期(最好数字签署的)信号，如GPS信号，或近期望适当频率的适当噪声。如果这样的信号未在合理的时间间隔内接收到，卡可“封锁”并简单地拒绝与任何门通信，这使其本身不适于访问。应注意，较简单地将所有HRA传播给所有卡，这样的系统可能更经济和更方便，因为HRA为不断改变的消息。因而，将HRA传播给所有卡可能要求建造特殊目的的人造卫星或定制已经存在的人造卫星。上述方法代替利用已经可用的广泛传输的信号并安装本地发射机用于常规消息。\n[0114] 或者，如果安全策略要求用户可见地穿戴卡如安全徽章或在适当地方(在传输范围内)将卡呈现给防护装置，则可防止用户进行阻止向卡传输的行为。用于传播特定卡/凭证/证明的HRA的其它技术包括使用其它卡将HRA传送给门。在该技术中，卡1可(例如当获得其自己的每日凭证/证明时，或无线方式或当与连通的门通信时或在进行任何类型的连接时)接收HRA、HRA2、取消与不同的卡即卡2相关联的凭证/证明。卡1接着可保存HRA2并将HRA2通信给门，门接着还保存HRA2。实际上，卡1可向多个门提供，例如提供给所有门或卡2在特定时间段(如全天)访问或通信的所有不连通的门。这里，可由卡1到达的任何门(即使不连通)能够拒绝包含取消的凭证/证明的卡2的持有人进入。优选地，HRA2是数字签署或自鉴定的，且可由卡1到达的任何门检查HRA2的可靠性以防止假HRA的恶意传播。\n[0115] 这可通过使卡1到达的门将学得的HRA2通信给另一卡即卡3而得以增强，卡3随后访问门或与门通信。这是有用的，因为卡3可到达卡1将不到达或将在卡3之后到达的门。通过使这些另外到达的门与其它卡通信，该过程可继续。此外，某些门即使不全连接到中央数据库，也可具有相互之间的连接。因而，这样的门可类似地交换可用HRA。如果卡具有相互通信能力-例如当接近时-它们也可交换关于它们保存的HRA的信息。\n[0116] 应注意，经鉴定的HRA对在此描述的HRA传播技术特别有利。事实上，通过多个媒介(卡及门)发送HRA可能提供多个故障点，其中 HRA可能被对手修改或假HRA可被对手注入。在某种意义上，未经鉴定的HRA在它们到达门时可能已变成纯粹的未经证实的信息。\n另一方面，经鉴定的HRA，无论它们怎样到达门，均可被保证是正确的。\n[0117] 在不大大考虑资源的情况下，所有HRA可以这种方式进行保存和传播。采用一些优化也是可能的。例如，卡可像门那样管理HRA存储，并将过期的HRA删除以释放内在的卡存储空间并防止与其它门进行不必要的通信。在这样的系统内使存储通信和最小是有用的，因为，即使未过期但取消的凭证的数量不多，但可能某些部件(如一些卡或门)没有足够的存储器或带宽来处理所有未过期的HRA。\n[0118] 使存储和通信最小的另一可能包括选择哪些HRA将经哪些卡进行传播。例如，HRA可与优先级信息一起提供，其表明尽可能快地分散关于特定凭证/证明的知识的相对重要性。例如，一些HRA可被标记为“紧急”，而其它可被标记为“常规”(优先等级可以尽可能地精确或近似)。具有有限带宽或存储器的设备可记录并交换关于较高优先级HRA的信息，且只要资源允许，可专心于较低优先级HRA。作为另一例子，阻止卡访问特定门的HRA可经更可能快到达该门的卡(如其凭证使能在该门附近访问该门的卡)进行传播。事实上，卡及门可从事于建立哪一HRA接受存储和/或另外传播的目标。或者，HRA或保存它们的卡可在某种程度上进行选择，其包括随机性，或者门可提供HRA给一定数量的卡(如门“遇到”的前k个卡)。\n[0119] 这样的传播技术的使用可降低具有取消的凭证/证明的用户将能进入的可能性，因为即使不连通的门，用户也不得不在任何其它用户以更新的卡提供适当的HRA给门之前到达门。在卡和门之间的信息交换可帮助确保许多卡可被快速地通知关于取消的信息。该方法还可用作防“蓄意干扰”攻击的对策，所述攻击试图断开连通的门并阻止门接收HRA。\n即使干扰攻击取得成功且门永远未获得中央服务器或应答器的HRA通知，个体用户的卡也可能向门通知HRA。应注意，在卡和门之间交换HRA的实际方法可变化。在少许短HRA的情况下，交换并比较所有已知HRA最有效。如果许多HRA被弄在一个列表中，列表可 包含指明列表在何时由服务器发出的时间。接着，卡和门可首先比较它们的HRA列表的发出时间，且可用较新的列表替换较旧的列表。在其它情况下，可使用更复杂的用于发现和协调区别的算法。\n[0120] 有效的HRA传播可通过下述步骤实现：(1)发出经鉴定的HRA；(2)将经鉴定的HRA发送给一个或多个卡；(3)使卡将经鉴定的HRA发送给其它卡和/或门；(4)使门保存所接收的HRA和/或传输所接收的HRA给其它卡。\n[0121] 详细介绍一些样本HRA使用是有用的：\n[0122] 顺序1(直接从“管理机构”到门)：\n[0123] 1、实体E取消用户U的凭证/证明并发出HRA A，其包含凭证/证明已被取消的信息；\n[0124] 2、A经有线或无线通信传输给门D；\n[0125] 3、D验证A的可靠性，如果验证成功，保存关于A的信息；\n[0126] 4、当U试图通过呈现凭证/证明访问D时，门D注意到所保存的关于A的信息指明凭证/证明已被取消并拒绝访问。\n[0127] 顺序2(从“管理机构”到用户卡到门)：\n[0128] 1、实体E取消用户U的凭证/证明并发出HRA A，其包含凭证/证明已被取消的信息；\n[0129] 2、另一用户U’来上班并将其卡呈现给E以获取其当前凭证/证明；\n[0130] 3、连同U’的当前凭证/证明，HRA A被传输给U’的卡；卡保存A(卡可以也可不验证A的可靠性，取决于卡的能力)；\n[0131] 4、当U’试图访问门D时，其卡将其凭证/证明连同A传输给D；\n[0132] 5、D验证A的可靠性，如果验证成功，保存A；\n[0133] 6、当U试图通过呈现其凭证/证明访问D时，门D注意到A取消U的凭证/证明并拒绝访问。\n[0134] 顺序3(从“管理机构”到另一门到用户卡到门)：\n[0135] 1、实体E取消用户U的凭证/证明并发出HRA A，其包含U的凭证/证明已被取消的信息；\n[0136] 2、A经有线或无线通信传输给门D’；\n[0137] 3、D’验证A的可靠性，如果验证成功，保存A；\n[0138] 4、另一具有其自己的凭证/证明的用户U’将其卡呈现给D’以进入D’。D’除了验证U’的凭证/证明并在合适时准予进入，还将A传输给U’的卡。卡保存A(卡可以也可不验证A的可靠性，取决于卡的能力)；\n[0139] 5、当U’试图访问门D时，其卡将其凭证/证明连同A传输给D；\n[0140] 6、D’验证A的可靠性，如果验证成功，保存A；\n[0141] 7、当U试图通过呈现其凭证/证明访问D时，门D注意到A取消U的凭证/证明并拒绝访问。\n[0142] 顺序4(从“管理机构”到用户卡到门)：\n[0143] 1、实体E取消用户U的凭证C并发出HRA A，其包含C已被取消的信息；\n[0144] 2、用户U携带其卡通过位于建筑物入口附近的传输点，这使得其卡接收A；卡保存A(卡可以也可不验证A的可靠性，取决于卡的能力)；\n[0145] 3、当U试图访问门D时，其卡将A连同C传输给D；\n[0146] 4、D验证A的可靠性，如果验证成功，保存A并拒绝U的访问；\n[0147] 5、如果U再次试图通过呈现C而访问D，则门D注意到先前保存的A已取消C并拒绝访问。\n[0148] 有时，在犯罪之后，建立谁试图访问特定的门、在什么时间、呈现了什么凭证/证明、及访问是否被拒绝或同意是有用的。知道门的机构是否被堵塞、开关或敏感元件是否发生故障等也是有用的。到最后，可能希望维护发生的事件的事件日志。如果这样的日志可在某些中央位置容易地获得，其特别有用，从而其可被检查并遵照其行事。例如，在硬件故障的情况下，修理队可能需要被迅速调度。然而，这样的日志有两个主要问题。\n[0149] 首先，如果门被连通，则较容易通过经连接发送日志而收集日志。然而，对于不连通的门，收集事件日志则更难。当然，收集日志的一 种办法是派人到每一不连通的门以通过物理方式将日志传回中央位置，但该方法成本太高。\n[0150] 其次，对于将被信任的事件日志，包括日志的产生、收集及存储的整个系统的完整性应被保证。否则，例如，敌手可创建假日志记录或删除有效日志。传统的方法如在物理上保护通信通道及数据存储设施，其成本非常高(且通过它们自身也不足以保护)。\n[0151] 通过这样的日志记录的存在，假定日志记录是有效的，则传统的日志可断定“某一用户去某一门”。然而，这不适于高安全性应用。假定用户U被控告损害被锁的门D后面的某些财产。传统的日志记录仅可提供U进入D的无力证据：人们不得不相信没有人恶意伪造日志记录。因而，希望使日志提供更强有力的证据，因为日志不可由敌人“人造”。具体地，无争议的日志可证明门D(可能与U的卡合作)在日志中创建记录。\n[0152] 在此描述的系统以下述方式解决了该问题：无论门在何时接收作为访问请求的部分的凭证/证明，门可创建日志记录(如数据串)，其包含关于事件的信息，例如：\n[0153] 请求时间；\n[0154] 请求类型(如果一个以上请求可能的话-例如，如果请求用于退出或进入，或打开或关闭引擎等)；\n[0155] 凭证/证明及所呈现的身份(如果有)；\n[0156] 凭证/证明是否被成功验证；\n[0157] 凭证/证明是否具有相应的HRA；\n[0158] 访问是否被授权或解决。\n[0159] 日志记录还可包含任何不寻常事件的运行数据或信息，如电流或电压起伏、敏感元件故障、开关位置等。产生无争议日志的一种办法包括使门借助于秘密密钥(SK)数字签署事件信息。所得的无争议日志可由SIG(event，AI)表示，其中AI代表任何额外的信息。\n门D使用的签名方法可以是公钥或私钥。\n[0160] 强调签名相对于其是有效的公钥PK、或用于产生签名的秘密密 钥SK或产生签名的门是有用的，因而可将无争议日志象征性地表示为。SIGPK(event，AI)、SIGSK(event，AI)或SIGD(event，AI)。这样的日志是无争议的，因为敌人在不知道相应的秘密密钥的情况下不可能伪造门的签名。另一方面，日志的可靠性可由任何被适当通知的验证者(如知道门的PK或门的SK的验证者)检查，而不必盼望保存日志的数据库的完整性或传输日志的系统的完整性。总之，日志不仅可通过数字签署每一记录而被使得无可争议，而且还可通过使用用于多个记录的数字鉴定步骤使得无可争议。例如，门可借助于数字签名SIG(E1，...，E2，AI)鉴定多个事件E1、E2、…。照常，在本应用的这里及其它地方，数字签名可能意味着数字签署将被鉴定的数据的单向散列的过程。具体地，流鉴定可被看作数字签名的特殊情况。例如，每一经鉴定的记录可用于鉴定下一(或先前的)记录。实现此的一种办法包括使经鉴定的记录包含用于鉴定下一或其它记录的公钥(具体地，以前数字签名的公钥)。\n[0161] 日志及无争议日志还可由卡产生(具体地，卡可通过以数字签署关于事件E的信息而产生无争议日志：表示成符号SIG(E，AI))。在此描述的所有日志技术也可被视为与卡产生的日志有关。\n[0162] 此外，其它日志和无争议日志可通过门及卡获得。例如，在门访问请求期间，卡可将卡自己的(可能无争议的)日志记录提供给门。门可检查日志记录并仅在门发现日志记录“可接受”时授权访问。例如，门可验证卡的数字签名从而鉴定日志记录；或门可根据门可接近的时钟验证包括在卡的日志记录中的时间信息是否正确。\n[0163] 其它类型的无争议日志还可通过使门及卡均致力于日志记录的产生和/或鉴定而获得。例如，卡可鉴定日志记录，且门也可鉴定日志记录信息的至少一部分，反之亦然。在具体的实施例中，卡C可将其日志记录的签名x＝SIGC(E，AI)给予门，门将副签该签名，表示为符号SIGD(x，AI’)，反之亦然。或者，门和卡可计算事件信息的联合数字签名(如借助于门和卡之间的秘密签署的密钥拆分计算，或将门的签名与卡的签名结合为单个“多重”签名进行计算)。可使用几个 多重签名方案，具体地，Micali、Ohta和Reyzin的方案。\n[0164] 可能将额外的信息包括在日志中。如果由卡和门报告的信息一致，额外的信息可被检查。例如，卡和门可使用它们可用的时钟将时间信息包括在日志记录中。此外，卡(可能还有门)可将位置信息(如从GPS获得的位置信息)包括在日志记录中。或者，如果难以获得当前位置(如因为GPS接收能力无法使用)，则最近知道的位置信息(及其在多久以前建立)可被包括。这样，具体地，在移动门(如飞机的门)的情形下，可能确定当事件发生时门及卡位于何处。\n[0165] 当然，即使如上述的无争议日志记录也可被恶意地从数据库删除或被阻止到达数据库。为防止这样的删除，提供删除可检测日志系统是有用的。这样的系统可通过使用下述方案建立：(1)鉴定方案(如数字签名方案)；(2)关联生成方案；及(3)关联检测方案。\n给定一日志事件E(一系列过去和/或未来事件的部分)，关联生成方案可用于产生关联信息CI，其继而借助于鉴定方案而安全绑定到E以产生删除可检测日志记录。关联生成方案可确保，即使事件本身无关联且一事件的存在不可从其它事件的存在进行推断，CI仍以这样的方式产生以保证缺少的没有适当关联信息的日志记录存在，某些可使用关联检测方案检测。在一些情况下，系统还可保证即使一些日志记录不见了，其它日志记录也可被保证可信和/或个别无争议。\n[0166] 在第一例子中，日志记录的关联信息CI可包括顺序编号日志记录。相应的关联检测方案可包括通知数序中间隔的存在。但为了获得删除可检测日志系统，CI和日志记录之间的适当绑定被发现，这可能不容易实现，即使安全数字签名用于系统的鉴定部分。例如，使第i个日志记录由(i，SIG(event，AI))组成是不安全的，因为敌人可在删除日志记录后修改随后的记录的编号以隐藏间隔。具体地，在删除日志记录号100之后，敌手可将日志记录101、102等的号码减1。从而敌人可隐藏其删除，因为，即使事件信息的完整性由数字签名保护，但编号本身不能被保护。此外，即使也数字签署编号可能也不能奏效。例如，假定第i个日志记录由(SIG(i)，SIG(event，AI))组 成。接下来，敌人可：(1)观察并记住SIG(100)；(2)删除记录号100；(3)用原始记录101的SIG(101)代替SIG(100)，同时记住SIG(101)，依此类推，以完全隐藏删除。\n[0167] 上述两种方法均不能产生想要的CI和日志记录的安全绑定。事实上，通过安全绑定(1)编号信息与(2)被编号的事件，我们意为当j不同于i时，即使提供(a)数i和Ei的安全绑定及(b)数j和Ej的安全绑定，敌人也不可制造数j和关于第i个事件Ei的事件信息的绑定。例如，第i个日志记录可由SIG(i，Ei，AI)组成。这样，第i个日志记录的删除将被特定的稍后的日志记录检测到。这是因为稍后的日志记录携带比i大的数，其不能被敌手删除、修改或用另一日志记录编号信息替换，因为其与日志记录安全绑定。例如，假定敌人删除日志记录号100：SIG(100，E100，AI)。只要敌手不能删除所有随后的日志记录(这将要求持续访问数据库)，为隐藏其删除，敌手将需要创建具有相同号码100的另一日志记录。然而，这是很难的，因为：(a)敌手不能产生全新的第100个日志记录SIG(100，E’，AI’)，因为他没有门的秘密签署的密钥；(b)敌手在未使数字签名无效的情况下不能修改现有的日志记录(如不能将SIG(101，E101，AI101)改变为SIG(100，E101，AI101)，即使他记住所删除的记录SIG(100，E100，A1100))；(c)敌手不能提取指示编号100的日志记录的部分的签名并将其与数字签名绑定以产生另一日志记录。\n[0168] 这样的安全绑定还可通过不同于共同数字签署记录编号和被编号的事件的手段实现。例如，其可通过单向散列记录编号和被编号的事件然后签署散列而实现，以符号表示为SIG(H(i，Ei，AI))。至于另一例子，其可通过将编号的散列包括在事件的数字签名中而得以实现，反之亦然：例如，以符号表示为SIG(i，H(Ei)，AI))。其还可通过签署编号信息及事件信息的数字签名实现：例如，以符号表示为SIG(i，SIG(Ei)，AI))。作为另一例子，人们可单独地签署(1)编号信息和唯一的字符串x；及(2)事件信息及字符串x，以符号表示为(SIG(i，x)，SIG(x，Ei，AI))(这样的字符串x可以是当前时间)。\n[0169] 删除可检测日志还可通过与不同于顺序编号信息的日志记录关联信息安全绑定而实现。例如，可在日志记录i中包括一些来自先前日志记录如记录i-1的识别信息。这样的信息可以是记录i-1(或日志记录i-1的部分)的防碰撞散列：以符号表示，日志记录i可被表示为SIG(H(日志记录i-1)，Ei，AI)。接着，如果敌手试图删除日志记录i-1，这样的删除在接收日志记录i时将被检测到，因为先前接收的日志记录的散列H(日志记录i-2)与H(日志记录i-1)不匹配(由于H的防碰撞)，反之，H(日志记录i-1)，由于其与日志记录i安全地绑定，在不破坏数字签名的有效性的情况下其不可被敌手修改。在此，日志记录i还可意为其信息的子集如Ei。\n[0170] 应注意，不必须是日志记录i-1的信息与记录i绑定，其可以是先前或未来的另一记录，或者实际上，多个其它记录。此外，哪一日志记录与哪一记录绑定可随机选择。\n[0171] 其它关联信息也可被使用。例如，每一日志记录i可具有与两个值(如随机值或当前时间)xi和xi+1的安全绑定：以符号表示，如SIG(xi，xi+1，Ei，AI)。接着，两个相继的日志记录可总是共享一x值：例如，记录i和i+1将共享xi+1。然而，如果日志记录被删除，这将不再有效(因为敌手不能在没有检测的情况下修改签署的日志记录，除非其知道签名的秘密密钥)。例如，如果记录号100被删除，数据库将包含SIG(x99，x100，E99，AI)和SIG(x101，x102，E101，AI)，且可注意到它们未共享共同的x值。这样的关联信息可采取其它形式：实际上，日志记录可与多个其它日志记录关联。具体地，这可利用多项式产生关联信息而实现(如两个或多个日志记录中的每一个可包含以不同输入求值同一多项式的结果)。这样的关联信息还可利用散列链：例如，以值y1开始，让y2＝H(y1)、y3＝H(y2)、...等，并接下来使yi与Ei安全绑定：例如，第i个日志记录可以符号表示为SIG(yi，Ei，AI)。接着，相继日志记录i和i+1可具有关联值yi和yi+1，适当yi+1＝H(yi)。然而，如果敌手删除日志记录，这可能不再有效因而删除可被检测。例如，如果记录100被删除，数据库将包含SIG(y99，E99，AI)和 SIG(y101，E1101，AI)(如前所述，其不能在不破坏数字签名的情况下被敌手修改)。接着，删除可被检测，因为H(y101)将不与y99匹配。使用多个散列链，或许使用非相继记录及双向，也可提供这样的关联信息。\n[0172] 在另一实施例中，每一日志记录可包含部分或所有先前甚或随后的事件的指示，因而使日志不仅删除可检测，而且在删除时可重建。可重建日志系统可通过使用下述方案建立：(1)鉴定方案(如数字签名方案)；(2)重建信息产生方案；及(3)重建方案。给定一日志事件E(一系列过去和/或未来事件的部分)，重建信息产生方案被用于产生重建信息RI，其接着可借助于鉴定方案与其它日志记录安全绑定。重建信息产生方案确保，即使对应于事件i的日志记录丢失，其它日志记录包含足够的关于E的信息，以允许从其它日志记录中存在的RI重建E。例如，第i+1个记录可包含关于所有或部分先前i个事件的信息，其由重建信息产生方案生成。因此，如果敌人以某种方式成功从数据库擦除第j个日志记录，关于第j个事件的信息Ej将在一个或多个随后的记录中揭示，使得即使在缺少第j个日志记录的情况下也可使用重建方案重建信息Ej。因而，对敌人而言，对数据库临时访问是不足够的：他不得不“始终”监视数据库并删除多个日志记录以阻止关于第j个事件的信息被展现。选择哪一事件包括在日志记录中可由重建信息产生方案以随机方式完成，以使敌人很难预测关于特定事件的信息将在何时在后继的日志中揭示。优选地，可重建日志系统还可以是删除可检测和无可争议的。\n[0173] 还应注意，关于包括在另一日志记录中的事件j的重建信息不必是直接信息。其可由部分记录j、或其散列值hj(具体地，由重建信息产生方案经单向/防碰撞散列函数计算)、或其数字签名、或任何其它指示组成。具体地，如果使用单向防碰撞散列函数H，则可能无争议地从包含hj的日志记录i恢复关于第j个事件的信息：以符号表示，如果第i个记录被签署，相应的无争议日志可采取形式SIG(hj，Ei，AI)。例如，如果怀疑特定用户在特定时间进入特定的门，可测试值 hj是否与已响应于该事件创建的日志记录Ej的散列H(Ej)匹配。这是无可争议的，因为H的防碰撞特性：实质上不可能提出不同于Ej的记录E’j使得H(E’j)＝H(Ej)。\n[0174] 日志记录Ej可被创建，在某种程度上应使其容易猜测(因而验证)对于特定事件应是什么日志记录(例如，通过使用日志记录的标准化格式，使用近似时间间隔等)。单向散列因为其大小很小而特别有用：可以散列许多甚或所有先前的日志记录以包括在随后的记录中。例如，记录i+1可包括h1＝H(E1)、h2＝H(E2)、...、hi＝H(Ei)。或者，可以嵌套(部分)散列，从而减少所要求的空间量。例如，如果嵌套所有散列，则第二日志记录应包括h1＝H(E1)，第三日志记录应包括h2＝H(E2，h1)...。因而，如果通过i-1和日志记录i+1创建或观察日志记录i，则可无争议地创建日志记录i。该系统可通过(如使用仅数据库知道的密钥)加密日志记录中的(部分)信息进行改进，从而敌人不能看到他必须损害哪一信息以危害特定事件的可重建性。实际上，一旦日志被加密保护，这样的加密日志(最好是无争议的加密日志)可被发到另一(第二)数据库，而不会损失任何秘密。这使得敌人更难删除：现在他不得不进入两个或更多数据库以伪造日志。\n[0175] 可重建日志还可通过使用错误纠正代码实现。具体地，这可通过产生每一日志记录的多个分量(“部分”)并将它们以这样的方式单独(或许与其它日志记录一起)发送，当足够多的部分已被接收时，日志记录可由重建方案重建，这可能调用错误纠正代码的解码算法。这些部分可被随机或伪随机传播，因而当足够的部分实际上到达时，使敌手很难删除足够多的部分以阻止日志记录的重建。\n[0176] 事件日志(无论由卡创建还是由门或卡和门结合创建)可由卡携带以有利于其收集。当卡到达连通的门或与中央服务器通信或相反能够与中央数据库通信时，其可发送保存于其中的日志。这可类似于HRA的传播那样实现，除了HRA可从中央点发送给卡以外，而日志可从卡发送给中央点。因此，传播HRA的所有方法应用于事件日志的收集。具体地，传播HRA的方法可被变换为收集事件日志的方法，其通 过：(1)用接收器取代发送器，反之亦然；(2)用日志记录代替HRA。\n[0177] 具体地，卡C1可收集与C1无关的事件的事件日志，如另一卡C2的访问或门D的故障。此外，一门D1的事件日志可被保存(或许临时)在另一门D2上(或许由卡C1携带到那里)。接着，当另一卡C2与D2通信时，其可接收这些日志记录的部分并随后将它们通信给另一门或通信给中央位置。该广泛传播可确保事件日志更快地到达中央点。(此外，一些门尽管不全连接到中央数据库，可具有相互之间的连接。因而，这样的门可类似地交换可用事件日志。如果卡具有相互通信能力--例如当接近时-它们也可交换关于它们保存的事件日志的信息。在这样的收集过程中，无争议的日志是有利的，因为它们不必须在安全通道上传送，因为它们不能被伪造。因此，它们不依赖于卡或卡和门之间的连接的安全性。删除可检测日志提供额外的优点，如果某些日志记录未被收集(或许因为某些卡从未到达连通的门)，其确保该事实可被检测到。可重建日志在某些日志记录没有到达中央数据库的情况下可允许日志记录的重建(再次地，或许因为某些卡从未到达连通的门)。\n[0178] 在一些情况下，所有事件日志可以这种方式进行保存和传播。否则，采用一些优化是有用的。一种优化方法是使事件日志与优先级信息一起提供，其表明通知中央机构关于特定事件的相对重要性。一些日志记录可能比其它日志记录更紧急：例如，如果门被维持在打开或关闭位置，如果试图进行未经授权的访问，或如果检测到不寻常的访问模式。为了加速将这样的重要信息传送到其可被遵照行事的位置，访问日志中的信息可用指明其重要性的标志标记(或其重要性可从其自身的信息推断)。例如，一些日志记录可被标记为“紧急”，而其它可被标记为“常规”。或它们可由指明它们的重要程度的数字或代码字标记(优先等级尽可能适当地精确或接近)。例如，较高优先级的信息可被给予更多的卡和/或门以增加其将更快或更安全到达其目的地的可能性。同样，卡或门，当接收高优先级的信息时，可通过从其存储器删除低优先级信息而为高优先级信息腾出空位。同样，门可决 定将高优先级信息给予经过其的每一卡，而低优先级信息仅被给予少数几个卡或可等待直到门被连通为止。\n[0179] 或者或除了上述技术以外，卡可被选择以在某种程度上保存特定的日志记录，包括随机保存，或门可将日志记录提供给一定数量的卡(例如，门“遭遇”的前k个卡)。这样的传播技术的使用可大大降低事件日志中的重要记录将不能到达其被遵照行事的中央位置的可能性。具体地，其可用作防“蓄意干扰”攻击的有效对策，所述攻击试图阻止损坏的门通信其遇险信息。在卡和门之间交换日志的实际方法可变化。在少许记录的情况下，交换并比较所有已知记录最有效。在其它情况下，可使用更复杂的用于发现和协调区别的算法。\n[0180] 详细介绍一些事件日志可被收集的样本方法是有用的。下面，“管理机构”A包括一些中央点或数据库，事件日志被收集于其中。\n[0181] 顺序1(直接从门到管理机构)：\n[0182] 1、连通的门D响应于事件创建无可争议的日志记录E。\n[0183] 2、E经有线或无线通信传输给管理机构A。\n[0184] 3、A验证E的可靠性，如果验证成功，则保存E。\n[0185] 顺序2(从门到用户卡到管理机构)：\n[0186] 1、门D响应于事件创建无争议日志记录E。\n[0187] 2、被呈现用于访问D的用户U的卡C接收并保存E(除了与访问有关的通信以外)。\n卡可以也可不验证E的可靠性。\n[0188] 3、当U下班并在工作日结束时将其卡呈现给A时，E由卡传输给A。\n[0189] 4、A验证E的可靠性，如果验证成功，则保存E。\n[0190] 顺序3(从门到用户卡到另一(连通的)门到管理机构)：\n[0191] 1、门D响应于事件创建无争议日志记录E。\n[0192] 2、被呈现用于访问D的用户U的卡C接收并保存E(除了与访问有关的通信以外)。\n卡可以也可不验证E的可靠性。\n[0193] 3、随后，U呈现其卡C以用于访问另一(连通的)门D’。D’，除了验证凭证并在合适时授权访问以外，从C接收E。D’可以也可不 验证E的可靠性。\n[0194] 4、E经有线或无线通信由D’传输给管理机构A。\n[0195] 5、A验证E的可靠性，如果验证成功，则保存E。\n[0196] 受保护区域可由墙和物理门确定，如通过其人可进入的门、或集装箱的门、安全门、交通工具的门等。受保护的区域也可由虚拟的门和墙确定。例如，区域可由检测器保护，其可感觉侵入并可在未被提供授权时发出报警或发送另一信号。这样的报警系统是虚拟门的一个例子：在机场中，经常通过出口巷道进入门区将触发这样的报警，尽管没有物理的门或墙已被违犯。虚拟门的另一例子是收费所：尽管许多收费所不包含物理的栅栏或门，特定的汽车可能被授权也可能未被授权通过收费所。例如，这样的授权可依赖于汽车的电子收费付款标记的有效性。另一例子是交通管制区。例如，要进入特定城市的市中心或通向核设施的路、军队军营、或另一敏感区域，交通工具必须具有合适的授权，用于记账、安全或拥塞控制等目的。\n[0197] 此外，保护不仅仅为区域所需要，还为设备需要，如飞机引擎或军事装备。例如，必须确保只有经授权的个人才可启动飞机的引擎或运载危险材料的卡车的引擎。\n[0198] 有许多方式使用凭证/证明来进行访问控制。应注意，对于在此公开的方式，术语“日子”应被理解为一系列时间段中的一般时间段，及“早上”意为时间段的开始。\n[0199] 在该申请中，“门”应被视为包括所有类型的入口(如物理的和/或虚拟的)、访问控制系统/设备、及监视系统/设备。具体地，它们包括用于启动引擎和控制装置的关键机构(具体地，从而本发明可用于确保只有当前的授权用户可启动飞机、操作推土机或访问和控制各种重要和/或危险的物品、设备和机件)。与该约定一致，我们将“进入”称为被授权想得到的访问(或物理的或虚拟的)。\n[0200] 类似地，具体地但不损失一般性，卡可被理解为用户的任何访问设备。应该意识到的是，卡的概念足够概括地包括移动电话、PDA、或其它无线和/或先进设备，且卡可包括或连同其它安全措施一起工 作，如PIN、口令及生物测定信息，尽管这些措施的部分可能“位于”卡持有人的大脑或身体中而不是卡本身之中。\n[0201] 此外，措辞“用户”(经常称为“他”或“她”)可被广泛地理解为不仅包括用户和人，还包括设备、实体(及用户、设备和实体的集合)，包括但不限于用户卡。\n[0202] 在此描述的系统可使用硬件和软件的任何适当结合实施，包括但不限于保存在计算机可读的介质中的软件，其可由一个或多个处理器访问。此外，用于加密、鉴定等的技术可被适当地结合和可交换地使用。在那一点上，下述美国专利和申请中的每一个均通过引用组合于此：\n[0203] 1995年10月2日申请的美国临时专利申请60/004,796；\n[0204] 1995年10月24日申请的美国临时专利申请60/006,038；\n[0205] 1995年11月2日申请的美国临时专利申请60/006,143；\n[0206] 1996年9月10日申请的美国临时专利申请60/024,786；\n[0207] 1996年8月29日申请的美国临时专利申请60/025,128；\n[0208] 1996年12月18日申请的美国临时专利申请60/033,415；\n[0209] 1997年2月3日申请的美国临时专利申请60/035,119；\n[0210] 2001年3月20日申请的美国临时专利申请60/277,244；\n[0211] 2001年6月25日申请的美国临时专利申请60/300,621；\n[0212] 2001年12月27日申请的美国临时专利申请60/344,245；\n[0213] 2002年4月8日申请的美国临时专利申请60/370,867；\n[0214] 2002年4月16日申请的美国临时专利申请60/372,951；\n[0215] 2002年4月17日申请的美国临时专利申请60/373,218；\n[0216] 2002年4月23日申请的美国临时专利申请60/374,861；\n[0217] 2002年10月23日申请的美国临时专利申请60/420,795；\n[0218] 2002年10月25日申请的美国临时专利申请60/421,197；\n[0219] 2002年10月28日申请的美国临时专利申请60/421,756；\n[0220] 2002年10月30日申请的美国临时专利申请60/422,416；\n[0221] 2002年11月19日申请的美国临时专利申请60/427,504；\n[0222] 2003年1月29日申请的美国临时专利申请60/443,407；\n[0223] 2003年2月10日申请的美国临时专利申请60/446,149；\n[0224] 2003年6月24日申请的美国临时专利申请60/482,179；\n[0225] 2003年7月18日申请的美国临时专利申请60/488,645；\n[0226] 2003年9月24日申请的美国临时专利申请60/505,640；\n[0227] 1996年9月19日申请的美国专利申请08/715,712；\n[0228] 1996年11月1日申请的美国专利申请08/741,601；\n[0229] 1996年11月26日申请的美国专利申请08/756,720；\n[0230] 1997年2月24日申请的美国专利申请08/804,868；\n[0231] 1997年2月24日申请的美国专利申请08/804,869；\n[0232] 1997年6月11日申请的美国专利申请08/872,900；\n[0233] 1997年8月5日申请的美国专利申请08/906,464；\n[0234] 2001年7月25日申请的美国专利申请09/915,180；\n[0235] 2002年3月20日申请的美国专利申请10/103,541；\n[0236] 2002年9月16日申请的美国专利申请10/244,695；\n[0237] 2003年4月8日申请的美国专利申请10/409,638；\n[0238] 2004年6月24日申请的美国专利申请10/876,275；\n[0239] 美国专利5,604,804；\n[0240] 美国专利5,666,416；\n[0241] 美国专利5,717,757；\n[0242] 美国专利5,717,758；\n[0243] 美国专利5,793,868；\n[0244] 美国专利5,960,083；\n[0245] 美国专利6,097,811；及\n[0246] 美国专利6,487,658。\n[0247] 在本发明已结合多个实施例公开的同时，其修改对本领域技术人员将是非常明显的。因此，本发明的实质和范围由下面的权利要求提出。